JALの会員向けサービスサイトが悲願のパスワード認証を導入へ

 山本一郎です。25歳ぐらいまで、定期的にパスワードを変更するのが必要だと思い込んでいました(照)。

 ところで、既にもう1年以上も前の話になりますが、それはどう考えても杜撰すぎるだろうというセキュリティ管理システムを導入していた結果、日本航空(JAL)が提供する会員サービスサイトにおいて、何者かの不正アクセスから個人情報が漏洩し約2700万人の会員パスワードをすべて強制リセットせざるを得ない事態が発生しました。その時の顛末については当ブログでも何度か話題として取り上げております。

JALとANAのセキュリティの杜撰さに高木浩光先生が憤怒の狼煙を上げる(ヤフーニュース個人 山本一郎 14/2/4)

 何が杜撰だったかと言いますと、当時のJALのセキュリティシステムは4~6桁の数字しかパスワードとして利用を認めないというもので、実態としてはパスワードというよりは暗証番号という感じです。それはもう、さすがにこれではヤバイだろうということになり、JALではなんと半年もの月日を費やして新たなセキュリティシステムを検討・導入することになります。

「JALマイレージバンク」に生年月日を使った2段階認証導入 「これが最終形ではない」(ITmedia 14/8/4)

日本航空(JAL)はこのほど、「JALマイレージバンク」に2段階認証を導入した。従来はマイレージ番号と数字6ケタのパスワードのみでログインできたが、一部機能利用時に生年月日の入力が必要になった。

 ネットでは「生年月日は比較的推測されやすく、セキュリティ対策として不十分なのでは」という声も上がっているが、JAL広報部は「これが最終形ではない」とし、追加の対策を順次、導入するという。

出典:ITmedia

 それなりに時間をかけた割にはネット民からもバカにされるような代物だったわけでして、「これが最終形ではない」というJALの力強い言葉も何かちょっと虚しく見えます。まあ、さすがにこの後はそれほどの間を空けずにしっかりと改善してくるのだろうと思うのが人情。しかし、そういう考え方はJALには無かったようでして、すぐに新たな事件が起きます。

JAL個人情報漏えい、6桁暗証での危険性(読売新聞 14/9/26)

日本航空(JAL)が24日、マイレージ会員の情報漏えい事件を発表した。社内のパソコンがウイルス感染したためで、最大75万件に及ぶ可能性がある。パスワードは流出していないものの、会員の生年月日が流出しているため危険な状態だ。

 あのさあ… JALが自信を持って導入した二段階認証に使われる生年月日情報が、なんとJAL側の運用ミスとも言えそうなサイバー攻撃被害によって外部に漏洩する事態が発生。そもそもが二段階認証そのものも一部機能のみでの運用でして、ほとんど意味をなしていなかったわけですが、さらなる追い打ちという感じでしょうか。

で、あの輝かしき二段階認証を導入して後さらに苦節1年の月日をかけて、JALではこの度ようやく新しいセキュリティシステムが導入されることになったようです。

JAL、Webサイトでの生年月日認証をとりやめてパスワード認証に移行(RBB TODAY 15/9/25)

従来JALでは、JALマイレージバンク(JMB)会員向けサービスの一部手続きにおいて、「生年月日」(数字のみ)での認証を行っていた。今回、セキュリティ向上のため、「Webパスワード」での認証に移行する。

出典:RBB TODAY

 これだけの改善を実現するのにずいぶん慎重に時間をかけたのは、やはり航空会社ならではの危機管理精神が反映されているのでしょうか。それにしても最初の不正アクセス事件から数えれば1年半以上をかけていることになります。さすがにこれは時間かけ過ぎじゃないですかね。

 いきなりマイナンバーでも導入するかも、という観測も一部であったようで、それはそれでちょっと見てみたい気もしますが、ある意味でお役所以上にお役所な感じの仕事ぶりには驚きを隠せないわけであります。

 いまやサイバー攻撃への対処は国家的、社会的な問題だと叫ばれる昨今、おそらく担当各位は重要性を認識しておられたのでしょうがなかなか対策が講じられないというのは組織としての感度の鈍さだけが光ります。飛行機の安全運航と同じぐらい、顧客の情報管理には細心の注意を払って欲しいと強く感じる次第です。