Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ANA、マイレージサービスの数字4桁認証を刷新 - iTunesギフト交換も再開予定

全日空(ANA)のマイレージ交換サービスで不正ログインが発生した問題を受け、同社はあらたなパスワード認証を9月4日より導入すると発表した。「iTunesギフトコードへの交換サービス」も12月上旬に再開する見込みだ。

問題となった不正ログインは、2014年3月に発生。第三者が利用者になりすまし、保有ポイントが「iTunesギフトコード」へ交換される被害が生じた。現在も「iTunesギフトコード」への交換は停止した状態となっている。

2013年ごろよりパスワードリスト攻撃が発生しており、同社も不正ログイン判明後にパスワードの変更を顧客へ求めたが、認証に用いる「AMCパスワード」は、数字4桁しか設定できない仕様。そのため、逆総当たり攻撃によってパスワードが容易に特定されるおそれがあるなど、セキュリティ専門家による危険性の指摘もあり、利用者からも不満の声があがっていた。

こうした指摘を受けて、同社ではウェブサービスにおける「AMCパスワード」による認証を中止。あらたにアルファベットの大文字、小文字と数字が利用でき、8桁から16桁までのウェブパスワードを9月4日より導入する。3カ月後の12月3日までは移行期間として従来のパスワードを利用できるが、12月4日以降は強制的に切り替える方針。

また認証強化の実施とともに、同認証の以降が完了する12月上旬より「iTunesギフトコードへの交換サービス」の再開を予定。さらに「マイレージ特典交換時のご本人様eメール認証機能」なども導入する計画だという。

なお「AMCパスワード」そのものが廃止となるわけではなく、「ANA予約センター」「ANAマイレージクラブ・サービスセンター」への問い合わせや、自動チェックイン機などで引き続き利用していく。

(Security NEXT - 2014/08/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表
NTTコムリサーチで不正ログイン - ポイント利用被害は発生せず
健保組合向けサービス「KenCoM」に不正ログイン - ポイント不正利用も
会員向けサイトで不正ログイン、ポイント不正利用も - ポケットカード
会員向けアプリで不正ログイン、ポイント不正利用も - エディオン
ウェブやスマホアプリで不正ログイン、ポイント不正交換か - ココカラファイン
イラスト投稿サイト「pixiv」で不正ログイン - アカウント3646件で情報閲覧された可能性
東北電力会員制サイトへの不正ログイン、あらたに1416件
「Ameba」にPWリスト攻撃 - 3754万回に及ぶ試行で59万IDに不正ログイン
ローソン会員向けサイトでポイント不正利用被害 - パスワードリスト攻撃が原因か