ニュース - ANAがユーザー認証を強化、英数8文字以上のパスワードが設定可能に：ITpro

全日本空輸（ANA）は2014年8月18日、同社が提供するオンラインサービスのユーザー認証を強化することを発表した。現在のパスワードは数字4桁だが、9月4日午前5時からは任意の英数文字8桁以上16桁以下のパスワードを設定できるようにする

まだパスワードは変更できない（かった）ですが、9月4日以降できるようなので、皆さん忘れないでパスワードを変更しましょう。

で、このパスワードなにが問題なのかなんですが、ANAやJALは４桁ないし６桁の固定長の数値のパスワードでログインができます。
これは通常窓口の端末などで手続きを行う際にはとても使いやすいものなんですが、WEBページのログインまでこれを適用した途端、非常に危険なものになります。

通常なにかしらのサイトのログイン画面では、IDとパスワードの入力を求めます。数回パスワードの入力に失敗した場合、IDを所定の手続きを行うまではロックするか、そのIDでは一定時間ログインできなくなります。

通常あるサイトにアタックするというと、特定のIDに対して様々なパスワードで不正ログインを試みることが想定されます。
これを難しい？用語でブルートフォース攻撃といいます。

でも、これと逆にパスワードを固定して、様々なIDに対して不正ログインを試みる方法もあります。
これがまたかっこいい用語で、リバースブルートフォース攻撃といいます。
リバースブルートフォースアタックとは - IT用語辞典 Weblio辞書

リバースブルートフォース攻撃とは、不正ログインを目的とするアカウント突破手法のうち、特定のパスワードと、ユーザーIDに使用され得る文字列の組み合わせを用いて総当り的にログインを試みる手法のことである。

でも、この攻撃がうまくいくには特定の条件が必要になります。それは

1. IDが予想しやすいこと
2. パスワードの組み合わせが非常に少ないこと

です。
サイトにログイン出来るように新規登録する際に、自分のログインIDを設定出来るところでは、他人のIDを予想することが難しいため、IDを次々に変えていく攻撃手法では、IDを予想することが困難です。
また、英数字を組み合わせて桁数にも幅を持たせてパスワードを設定出来るサイトでも、パスワードを固定した攻撃ではそのパスワードが使われていない可能性が高くなります。

なので、上記２つの条件を満たさなければこのリバースブルートフォース攻撃は成立しません（ただし、これは現状ではということで、ネットワークやPCの性能が上がればまた別の話になるかもしれませんが）。

で、ANAやJALのログインを見てみると、IDはお客様番号で、パスワードは４桁もしくは６桁数値固定。
これでは、パスワードが４桁なら組み合わせの数は10000個程度。IDも、ANAなどの会員証を作る際の一定の法則を知ることができれば、他人のIDを予想することができます。

話が長くなりましたが、ANAのパスワードはこの機会に変更しましょう。ということでした。

あと余談ですが、

2014年12月3日までは移行期間のため、AMCパスワードも利用可能だが、12月4日以降はオンラインサービスではWebパスワードしか使えなくなる。ただし、「ANA予約センター」や「ANAマイレージクラブ・サービスセンター」への問い合わせや、各空港に設置の自動チェックイン機・SKY KIOSKなどでは、AMCパスワードは引き続き必要となる。

移行期間今年12月以降も4桁パスワードはWEB以外では使えるようです。

Auのじぶん銀行もそうですが（WEBからは自分で設定したパスワード、携帯電話からは4桁パスワードで認証が出来る仕組み）、やっぱり短い数値パスワードは便利なので、個人の認証が容易な部分や、安易に実行できない固有の端末からのアクセスからは短いパスワードでの認証も残してくれるのは非常にありがたいです。