Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

歴史は繰り返す… いま、なぜマイレージプログラムが狙われるのか

  2011/10/12 11:00

誰もが1枚や2枚はもっている各航空会社のマイレージカード。いま、このマイレージプログラムを狙ったオンライン詐欺が、トロイの木馬とフィッシングの両方から流行する兆しを見せているという。なぜ、マイレージプログラムが狙われているのか。EMCジャパン RSA事業本部 シニアマーケティングプログラムマネージャー 水村明博氏に伺ったお話を紹介したい。

なぜ、マイレージプログラムが狙われるのか

 実はマイレージプログラムが攻撃の対象になったのは今回が初めてではない。2008年にはいくつかのマイレージプログラムサイトを狙った大規模なフィッシング攻撃が記録されている。水村氏によれば、今回確認されている手口も当時のそれとほとんど変わらないという。あまり喜ばしいことではないが、"歴史は繰り返す"というわけだ。

 では、なぜマイレージプログラムが狙われるのか。理由はごく簡単で、マイレージプログラムの口座は非常に換金性が高いということに尽きる。マイレージは航空券だけでなく、商品や優待サービス、会社によっては現金にも換えることができるため、攻撃者や詐欺師にとっては非常に魅力的なターゲットなのだ。

北米大手航空会社のマイレージプログラムサイトを騙ったフィッシングサイト
北米大手航空会社のマイレージプログラムサイトを騙ったフィッシングサイト

 かつて一度流行った攻撃の手口は、メディアなどでも数多く取り上げられるため犯罪者にとっても真似しやすい。攻撃用のツールもオープンソースなどで簡単に手に入る。加えて7月、8月は夏期休暇を取る人々が多いため、マイルが貯まりやすい時期となるため、犯罪者たちはそこを狙い撃ちにしたと思われる。

 だが仮にマイレージポイントを盗むことに成功しても、通常はポイントと特典と交換できるのはカードの所有者だけだ。そこで攻撃者たちは"狙いやすいところを狙う"という手段に出る。攻撃者たちが狙いやすい航空会社のサイトとは以下になる。

  •  マイレージポイントを他人に譲渡することを認めている
  •  マイレージポイントと特典を交換する際、本人確認をしない

 国内の二大航空会社であるJALとANAは、基本的に近親者以外への譲渡を認めていないが、米系航空会社などは他人への譲渡を認めるプログラムも多い。逆に国内航空会社の場合、本人確認のプロセスに甘い部分が見られる。それはたとえば、国内線を利用する際、IDの提示を要求されることがないという点にも現れている。もし詐欺師が盗んだマイレージで獲得した国内線航空券を使っても、それを見破ることは難しい。

 「詐欺師たちはどの航空会社を狙えば攻撃が成功しやすいか、非常によく研究しており、セキュリティのゆるいところを見つけてはピンポイントで攻撃を仕掛ける。国内航空会社に関しては今のところ被害の報告はないが、今後十分に注意する必要がある」(水村氏)

 今回、北米の大手航空会社および欧州の航空会社で被害が報告された。北米の会社はマイレージポイントを航空券以外のサービスや商品に換えられる換金性の高さが詐欺師たちを惹きつけた。彼らは本物のサイトとそっくりな偽サイト(フィッシングサイト)にユーザをおびき寄せ、IDとパスワードを得た後、マイレージポイントを盗み出すことに成功した。また、欧州の会社の場合、フィッシングサイトにユーザが釣られたところまでは北米の会社と同じだが、より深刻だったのは同じアカウントでユーザの予約状況や支払い状況まで閲覧できたこと、さらに日本とは異なりデビットカードでアクセスするユーザが多かったため、銀行口座などの情報まで入手可能だったことだ。つまり新たな詐欺につながる情報が漏れた可能性が非常に高い。水村氏によれば、これらのサイトは強いセキュリティポリシーに欠ける部分があり、より強固な認証やブロックによる対処が求められるという。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 五味明子(ゴミ アキコ)

    IT系出版社で編集者としてキャリアを積んだのち、2011年からフリーランスライターとして活動中。フィールドワークはオープンソース、クラウドコンピューティング、データアナリティクスなどエンタープライズITが中心で海外カンファレンスの取材が多い。 Twitter(@g3akk)やFacebook(...

バックナンバー

連載:Security Now
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5