高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。
徳丸: 徳丸です。よろしくお願いします。
高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、総計112万マイルがiTunesギフトコードに勝手に交換されていたとするものです。当初顧客の通報で発覚した点はJALの場合と同じですね(参考)。
徳丸: で、私はなにをしゃべればいいのですかね。お招きいただいたので出てきましたが、パスワードがJALは数字6桁、ANAは4桁ですが、それ以外はあまり変わらないのですよね。
高橋: JAL、ANAと事件が続きましたが、攻撃手口は見えてきていないのでしょうか?
徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、最近気づいたことがあります。
高橋: それそれ、教えて下さいよ。
徳丸: パスワードを狙った攻撃というと、パスワードが分かったらすぐに悪用すると思いませんか?
高橋: はい。違うのですか?
徳丸: 違うかもなと思い始めたのです。悪用するとバレやすくなりますから。
高橋: 結局ばれるんじゃないのですか? 今回も発覚はしていますよ。
徳丸: はい。ですが、最初の一人でばれると、悪人のもうけが減るじゃないですか。
高橋: はー。すぐ悪用しないとすると、どうだったと推測されますか?
徳丸: JALとANAの事件では、以下のプロセスが必要ですが、1と2は続けてやるとして、攻撃対象のアカウントをためておいて、3は後でまとめて実行した可能性があります。
- ログイン画面でパスワードを試行する
- ログインできたユーザのマイルの残高を確認する
- マイルを悪用する
高橋: 続けて実行するのとどう違いますか?
徳丸: 今回の事件でも、利用者からの通報で発覚しましたが、不正ログインしてマイル残高を確認するまでであれば、利用者は不正を知る術がないのですよ。
高橋: そういえば、そうですね。私のアカウントは大丈夫かしら。
徳丸: ひょっとするとログインまでは成功していて、マイルが少ないから何もされていないだけかもしれませんね。
高橋: あら、どうしましょ。パスワードを変更した方がいいかしら?
徳丸: まだ変更していないのですか?
高橋: だって、数字4桁のパスワード変更しても無意味、みたいなツイートが多かったし…
徳丸: それはきっと、パスワードを変更しても安全になるわけではないという意味でしょう。現に攻撃が起こっていて、パスワードがばれているかもしれないので、パスワードを変更することで、パスワードがばれていない状態にする、という意味はあります。
高橋: そうなのですか。ANAのサイトには、「会員の皆様に安心してサービスをご利用いただくため、AMCのパスワード変更のお手続きをお願いいたします」と書かれていた。ので、「パスワードが数字4桁のままで、どう変えたら安心できるの? ぷんぷくり~ん」と怒っていました。
徳丸: お怒りはごもっともですが、パスワードを変更する意味はあります。
高橋: 分かりました。それでは、パスワードの試行と悪用を分ける意味をもう少し詳しく説明いただけますか?
徳丸: はい。数字4桁のパスワード(暗証番号)とはいえ、パスワードの試行には、それなりに時間が掛かると思うのですよ。
高橋: どれくらい掛かりますか?
徳丸: それは分からないのですが、想定をおいて計算をしてみましょう。
高橋: お願いします。
徳丸: 現時点で悪用されたアカウントは9人ですが、ログイン成功したアカウントはずっと多いと予想されます。
高橋: 何故でしょうか?
徳丸: 奪われたマイル数が多いからですよ。9人で112万マイルということは、1人あたりの平均では12.4万マイルですよ。
高橋: それはすごいですね。私なんか、先日東京~札幌往復しましたが、1020マイルしか貯まってません。
徳丸: そういう利用者が大半だと思うのですよね。
高橋: それでは、マイル残高の多い利用者を狙ったということですか?
徳丸: はい。マイルを盗むと発覚の可能性が高まるので、マイル残高の多い利用者を一気に狙ったと予想します。
高橋: あー、なんか頭いい感じですね。
徳丸: パスワードがばれた利用者数はわかりませんが、ここでは300人と仮定しましょうか。パスワード試行1回で正答する確率は1万分の1ですから、単純計算で300万回パスワードを試行した計算になります。
高橋: 数字がぶれる要素はどこでしょうか?
徳丸: 300人というのは根拠がありませんし、「1234」など利用者がつけそうな暗証番号を狙うと、もう少し確率は上がるでしょう?
高橋: えっ、1234はつけられるのですか? JALの時は、123456は禁止されていましたよね。
徳丸: はい。この画面を見て下さい。これは、ANAマイレージクラブのパスワード変更画面です。
高橋: パスワードの例として「0123」とありますね。
徳丸: これ、本当に0123にセットできるんです。1234もいけますよ。
高橋: ぎょえー
徳丸: ですが、300人の根拠もありませんので、そのまま計算を進めます。ログインの監視もあるのでむやみに試行のスピードがあげられないので、1秒間に1回パスワードを試すとすると、300万秒、すなわち約830時間で、これは約35日間です。
高橋: 35日間も監視でばれなかったのでしょうか?
徳丸: 元々利用者の多いサイトですし、リバースブルートフォース攻撃などで、かつ試行に用いるIPアドレスを分散すれば、監視は相当困難でしょうね。
高橋: あれ、JALの時も、そうだった可能性ありません?
徳丸: そうなんです。不正ログインのIPアドレスは単一だっという報道がありましたが、それ以前のログイン試行の時はIPアドレスを分散していて、悪用の際は単一のIPアドレスだった可能性はありますね。前回は、「JALは監視してなかったのでは?」なんて言ってしまい、すみませんでした(_ _)
高橋: 徳丸さん、憶測でものを言うときは気をつけないと。
徳丸: 面目ないです。
高橋: ともかく、ゆっくり時間を掛けてパスワードを収集して悪用は一気に実行した、というのが徳丸さんの推測なのですね。
徳丸: はい。もちろん根拠はありませんが、攻撃方法としては合理的だと思います。
高橋: 対策はありませんか?
徳丸: あります。JALの場合も、ANAの場合も、攻撃発覚は利用者の通報でしたよね。
高橋: はい。
徳丸: なので、利用者に攻撃を早期に伝えるという施策が有効です。
高橋: 具体的にはどのようなものでしょうか?
徳丸: ログイン履歴の表示とか、ログイン通知メールの送信ですね。
高橋: それを実施しているサイトはありますか?
徳丸: Yahoo!ジャパンがそうですね。こちらの「ログインアラート」と「ログイン履歴」が該当します。
高橋: 徳丸さん、Yahoo!のログインについては以前批判していませんでしたか?
徳丸: こちらの記事でしょうか? これはパスワードリセットに用いる「秘密の質問と回答」に関するもので、アカウントの保護全般に関しては、Yahoo!の機能は素晴らしいですよ。だから、なおのこと、残念だということで。
高橋: そうだったのですね。
徳丸: はい。JALもANAも、ログイン通知の機能があればもっと早期に発覚しただろうし、被害もずっと小さくなった可能性があります。
高橋: あー、それにしても、私のアカウント大丈夫かしら。
徳丸: とりあえずパスワードは変えましょうよ。そして、ログイン履歴の機能は早期に実現して欲しいですね。
高橋: それよりも、パスワードの仕様を変えて、もっと安全なものがつけられるようにすることが先決ではありませんか?
徳丸: ごもっともですが、大規模なシステムなので、パスワードの仕様を変えるとなるとオオゴトですよ。それはそれでやってもらうとして、緊急対処としてできることは早期に実行して欲しいです。
高橋: 他に実施できるものはありますか?
徳丸: あります。崎村さんから教えていただいたのですが、ANAはGoogle等と認証連携しているのですよ。
高橋: Googleでも認証できるということで、4桁暗証番号でもログインできると意味ないのでは?
徳丸: はい。なので、崎村さんが書いておられるように、パスワード認証を無効にする機能を追加できれば、Google等の2段階認証の機能を活用できることになります。
高橋: それはいいですね。
徳丸: ということで、タテマエ論としてはパスワードの仕様を早くなんとかしろというのは要求しつつ、すぐにできる対処もあるので回避策を早急に実施して欲しいですね。
高橋: ありがとうございました。これで、ANAの不正ログインに関する徳丸さんへのインタビューは終わりです。みなさま、ごきげんよう~
※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。