被害総数は約1,000件のアカウント
香港の「キャセイパシフィック航空」のマイレージ「キャセイ」が、このほお、一部のアカウントにおいて、不正行為が見つかり、個人データへの不正アクセスとアジア・マイルの盗難に至ったコトがアナウンスされました。
被害はおよそ1,000件のアカウントで、そのほとんどが香港在住の会員とのコト。
既に被害を受けた会員に対しては、連絡を取り、アカウントを復旧し、盗難被害に遭ったアジア・マイルを回復。
さらにセキュリティ上の理由から、アカウントを一時的にロックされている残りの会員の身元確認を進めているところのようです。
現時点では、不正な第3者によるアジア・マイルの盗難が主な動機と見られており、個人データの不正使用の可能性までは否定できないとのコト。
但し、個人データに関しては、個人情報ならびに旅行情報への不正アクセスは遭ったモノの、クレジットカード情報は流出していないとのコト。
不正な第3者は、有効な会員の認証情報(一部はインターネット上に公開されていたコトが判明済み)を用いてログイン。
二次認証プロセスの不具合を利用して不正に回避し、アカウント内にアクセスしたと見られています(二次認証の不具合は既に修正済み)。
ANAも2段階認証導入が控えるが…
昨今、各所で不正アクセスによる被害が絶えない訳ですが、「ANA」も9月上旬から、ANAマイレージクラブアプリでのログイン時の2段階認証を導入する計画でいる。
具体的に「ANA」の場合は、登録済みのメールアドレスに送付されるワンタイムパスワードを用いて認証する形。
端末認証を有効にしている場合は、再ログインは自動で行われ、2段階認証の操作のみが必要になると言う感じ。
強い対策と言うよりも、やはりこのレベルは最低限と言う感じでしょうか。
「キャセイ」の認証も、そこまで弱いと感じたコトはなかったけれど、まずは元々、認証情報が盗難されていたと言う訳で、ここを防ぐのが一番手っ取り早いと言う話。
ただ…
やはりパスワードって覚えやすい方が良いし、使い回しになる確率が高い。
定期的に変更と言っても、いろいろなサイトがあり、そのすべてを変えると言うのも難しい話のようにも思うけれど…
終わりがないけれど、基本的な対策はしっかりと!
それにしても、こうした不正アクセスによる被害は、発覚との時間の戦い。
大量のアジア・マイルの盗難に成功したとしても、使い切れるのか…と言う気はする。
個人情報の中に、パスポート情報があったのかどうかは不明だけれど、「キャセイパシフィック航空」の場合、基本的には全路線、国際線扱いだから、パスポート上の氏名と搭乗者氏名が完全に一致する必要もあるから、アジア・マイルで購入→売却による現金化も、なかなか簡単じゃないように思うけれど、なぜマイルを…?と言う感じ。
ただやはりこれからもこうした不正アクセスによる被害と言うのは、終わりがないでしょうから、どのサイトでもパスワードをしっかりと秘匿すると言うのは、必須になってくるのでしょうね…とは。
コメント