こんにちは、穂苅と申します。
前回は、「Web API」を利用する際の脆弱性について取り上げてきました。自分たちのソフトウェアと外部のソフトウェアやプログラムを結びつけてデータのやり取りを行うインターフェースのことですが、ここでも脆弱性リスクが存在します。興味のある方はぜひご覧ください。
今回は、不正ログイン被害でJALのマイルが不正利用されているという問題についてです。
JALの不正ログインによるマイル不正利用被害とは?
皆さんは飛行機に乗る機会はどのくらいありますか。比較的多く乗るという方はお気に入りの航空会社を決めて多くのマイルを獲得しているのではないでしょうか。
そんな中、2024年12月から問題となっているのがJALのマイルが不正利用される被害が発生しているというものです。ユーザーがためているマイルが突然消えてしまうという事象が立て続いて発生しました。
具体的にはマイページを見ると、自分のマイルが大幅に減っており予約履歴を見ると勝手に知らない予約が行われ、その予約にマイルが利用されていたというものです。
被害の大きさとして全体は見えていないようなのですが、数十万マイルを不正利用されたという方もいるようで、JAL側も警戒を促す記事を出しています。その内容としては、以下です。
対策
・特典交換などの際に必要なワンタイムパスワードの通知先を、メールアドレスから携帯電話番号(SMS)に変更してください。
・ご自身の保有マイル数や登録情報を定期的にご確認ください。
・パスワードの定期的な変更をお願いいたします。
参考:https://www.jal.co.jp/jp/ja/info/2024/jmb/241216/
パスワードに関する正しい知識
これらの被害に関して、個人個人のパスワードの扱いがとても大事だということが分かります。JAL側でも「パスワードの定期的な変更をお願いいたします。」という文章を公開していますが、ITジャーナリストの三上洋氏は「定期的なパスワード変更よりも 複雑 全て別々 長くする ことが重要」と述べています。
現在私たちが利用するサービスの多くはログインをして利用するというものになっています。そのため、IDやパスワードが溢れかえってしまっており、覚えきれないのでパスワードを使いまわしてしまうという方が多いのが事実です。となると、特定のサービスではなくユーザーが利用しているサービスでどこか1つからでも情報漏洩がされてしまうと、そのパスワードを使って他のサービスへの侵入も試されてしまいます。まさに、パスワードリスト型攻撃で、運悪く突破されてしまって不正利用が行われるケースは後を絶ちません。
そのため、自分のパスワード使いまわしパターンの中で定期変更をするよりも、「複雑」「すべて別」「長くする」を注意してパスワード管理をしていくことが今後一層求められてきます。1Passwordなどのパスワードマネージャーを使ってそれぞれ別々のパスワードを管理していくという形も取れますので、一度自分のパスワード管理を見直してみることをおすすめします。
Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
Webセキュリティに関する問題は、今後も多様化し増えていくことが予想されます。セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
こういったWebセキュリティ関連の知識について、詳しくなりたい場合は、徳丸本を学ぶことをおすすめします。
徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
