日本航空が悪意のある第三者による不正ログインに伴うマイルの不正な特典交換が発生していることを警告しています。この犯人は詐欺などの手段で不正にJMBお得意様番号やパスワードを用いてログインしてマイルを搾取、不正利用していると説明されています。
さらには、メールアカウントまで乗っ取って、ワンタイムパスワードも盗み、二段階認証を突破している事案もあるということです。
ただ、詐欺でID、パスワード、二段階認証通知先のメールアドレスを搾取することはできるのでしょうか。日本航空内部のシステムから情報が漏洩していないことも十分に確認したうえでの周知だと思いますが、非常に心配です。
日本航空では対策として、ワンタイムパスワードの通知先をメールアドレスから携帯電話番号に変えてSMSで通知することを推奨しています。しかし、日本国外ではSMSが受信できない場合があるので注意するように呼びかけています。
しかし、海外でJALのサイトにログインしようとしたときにワンタイムパスワードを受信できなければ、完全に詰んでしまいます。「ご注意ください」と言われてもどう注意してよいかよく分かりませんし、メールアドレス認証に戻したら、また脆弱な状況に戻ってしまいます。ワンタイムパスワードを発行する認証アプリの併用など、日本航空ではさらなる対策が必要だと思います。
さらには、自身の保有マイル数や登録情報を定期的に確認することも日本航空では求めています。異変にできるだけ早く気がついて対策を取ることを求めているのでしょう。
昨日のサイバー攻撃による当日搭乗券の販売停止や飛行機の遅れなどがあったばかりですが、日本航空にはサイバー攻撃や不正ログイン対策の充実をさらに図ってほしいと思います。
コメント