なぜ、マイレージプログラムが狙われるのか
実はマイレージプログラムが攻撃の対象になったのは今回が初めてではない。2008年にはいくつかのマイレージプログラムサイトを狙った大規模なフィッシング攻撃が記録されている。水村氏によれば、今回確認されている手口も当時のそれとほとんど変わらないという。あまり喜ばしいことではないが、"歴史は繰り返す"というわけだ。
では、なぜマイレージプログラムが狙われるのか。理由はごく簡単で、マイレージプログラムの口座は非常に換金性が高いということに尽きる。マイレージは航空券だけでなく、商品や優待サービス、会社によっては現金にも換えることができるため、攻撃者や詐欺師にとっては非常に魅力的なターゲットなのだ。
かつて一度流行った攻撃の手口は、メディアなどでも数多く取り上げられるため犯罪者にとっても真似しやすい。攻撃用のツールもオープンソースなどで簡単に手に入る。加えて7月、8月は夏期休暇を取る人々が多いため、マイルが貯まりやすい時期となるため、犯罪者たちはそこを狙い撃ちにしたと思われる。
だが仮にマイレージポイントを盗むことに成功しても、通常はポイントと特典と交換できるのはカードの所有者だけだ。そこで攻撃者たちは"狙いやすいところを狙う"という手段に出る。攻撃者たちが狙いやすい航空会社のサイトとは以下になる。
- マイレージポイントを他人に譲渡することを認めている
- マイレージポイントと特典を交換する際、本人確認をしない
国内の二大航空会社であるJALとANAは、基本的に近親者以外への譲渡を認めていないが、米系航空会社などは他人への譲渡を認めるプログラムも多い。逆に国内航空会社の場合、本人確認のプロセスに甘い部分が見られる。それはたとえば、国内線を利用する際、IDの提示を要求されることがないという点にも現れている。もし詐欺師が盗んだマイレージで獲得した国内線航空券を使っても、それを見破ることは難しい。
「詐欺師たちはどの航空会社を狙えば攻撃が成功しやすいか、非常によく研究しており、セキュリティのゆるいところを見つけてはピンポイントで攻撃を仕掛ける。国内航空会社に関しては今のところ被害の報告はないが、今後十分に注意する必要がある」(水村氏)
今回、北米の大手航空会社および欧州の航空会社で被害が報告された。北米の会社はマイレージポイントを航空券以外のサービスや商品に換えられる換金性の高さが詐欺師たちを惹きつけた。彼らは本物のサイトとそっくりな偽サイト(フィッシングサイト)にユーザをおびき寄せ、IDとパスワードを得た後、マイレージポイントを盗み出すことに成功した。また、欧州の会社の場合、フィッシングサイトにユーザが釣られたところまでは北米の会社と同じだが、より深刻だったのは同じアカウントでユーザの予約状況や支払い状況まで閲覧できたこと、さらに日本とは異なりデビットカードでアクセスするユーザが多かったため、銀行口座などの情報まで入手可能だったことだ。つまり新たな詐欺につながる情報が漏れた可能性が非常に高い。水村氏によれば、これらのサイトは強いセキュリティポリシーに欠ける部分があり、より強固な認証やブロックによる対処が求められるという。
