JALの不正ログイン事件について徳丸さんに聞いてみた

高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク（JMB）のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ

[kazuhooku]

仮にリバースブルートフォース攻撃だとして、一番簡単かつサポートが楽な対策は「カードに記載されている名前の入力をログイン時に要求する」だと思う（これも一種の二要素認証と言える）

[chiqashi]

新しい「高橋メソッド」が誕生した。

[donayama]

非実在高橋さん

[zorio]

まさかとは思いますが、この「高橋さん」というのはあなたの想像上のｒｙ

[houyhnhm]

高橋は本当に非実在なんでしょうか。

[fukken]

ゼロ年代のテキストサイトでこういうのよく見た。そして問題点が分かりやすい

[cider_kondo]

記事を書くときに構成がまとまらない人は高橋さんを呼べばいいよ。この高橋さんは有能。

[t-wada]

架空インタビュー形式わかりやすい

[a-dach]

“被害にあった利用者の被害者はすべて同一のIPアドレスからアクセスされたようです。ということは、IPアドレス毎に連続したログイン試行の監視やロックをしていなかったと思われます。”

[iga_k]

めちゃめちゃ分かりやすい説明！

[konishika]

“利用者が安全なパスワードをつけたくてもつけられないので、利用者の責任とは言えません。”

[boyasan]

わかりやすい

[longroof]

【高橋が聞く最新版】ジャルジャル事件(；´Д｀)

[maeda_a]

「そもそも、なぜ数字のパスワードにこだわるのでしょうか? 徳丸: テレフォンサービスでも同じパスワードを使っているからでしょう。」JALは6桁，ANAは4桁．

[RMS-099]

①辞書攻撃、②リバースブルートフォース攻撃、③パスワードリスト攻撃、④ブルートフォース攻撃

[moomindani]

なるほど。

[u1tnk]

わかりやすい！リバースブルートフォースアタック！！！

[yumu19]

すごくわかりやすかった。

[ArappoCaro]

わかりやすい

[tototti]

ふむふむ...

[nilab]

JALの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記

[sawarabi0130]

対策に時間やコストが掛かるなら、せめて暫定処置としてCAPTCHAくらい入れてくれないかなあ。

[shimanp]

“徳丸: そうですね。だから、パスワードの制限を緩めて、安全なパスワードをつけられるようにすることが、総合的には安全性と利便性を両立できるのだと思います。 高橋: そもそも、なぜ数字のパスワードにこだわるの

[nasunori]

リバースブルートフォースアタック／高橋さん架空の存在なの…

[sayazoh]

これはわかりやすい。いい説明だ。

[anigoka]

高橋の人気に嫉妬せざるえない

[stabucky]

パスワードを固定してIDを変えるという方法があるのか！たくさん釣れそうだな。

[miya-jan]

おちゃめ

[namikawamisaki]

いろいろ参考になる／一番ぐっときたのは「1つのパスワードあたり平均では27人の利用者がいることになります。」あたり。

[azumi_s]

敵を知り己を知れば百戦危うからず。大変判りやすい解説です。

[TakayukiN627]

一方、JALの場合は、利用者が安全なパスワードをつけたくてもつけられないので、利用者の責任とは言えません。

[Ohgyoku]

J( 'ｰ`)し たかはしへげんきですか。いまさいんあっぷしてます (`Д)うるさい死ね。弱いパス使うな殺すぞ。J( 'ｰ`)し　ごめんね。おかあさんはじめてろぐいんしたから、ごめんね

[kaiton]

わかりやすい..とかく難しい表現になりやすい事例を、初心者にもわかりやすく説明している。それも、業者と利用者の両方に注意喚起するように

[kits]

高橋さんは架空の人物

[tatsunop]

電話端末と共用という利便性によって脆弱性が維持されてるわけで、安全性の点から考えれば、利便性を多少落としてでもセキュリティを強化する必要はあるよなぁ。

[honeniq]

すごい分かりやすい。JALの人に見てほしい。ANAの人はもっと見てほしい。

[airj12]

妙に分かってそうな質問をするなと思って読んでたら非実在だった

[raitu]

「辞書攻撃とリバースブルートフォース攻撃のハイブリッド攻撃という可能性」