日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイト(画面)への不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。
JAL広報部の説明によれば、1月31日から2月2日までに7人のJMB会員がコールセンターに「身の覚えのない特典交換をされた」という問い合わせをした。JALが調査したところ、不正ログインによる「Amazonギフト券」への交換の可能性が疑われたため、2月2日16時までにAmazonギフト券交換サービスを停止した。不正交換の可能性があるJMB会員は約60人で、JALが個別に事実確認を進めている。
現時点では「Amazonギフト券」以外への特典交換の影響は確認されていないという。だが、不正ログインに至った経緯の全容が明らかになっておらず、今後影響が広がる可能性がある。JAL広報部は「影響拡大を未然に防ぐため、全会員を対象としたパスワード変更をお願いする方向で検討している」と説明する。JMB日本地区の会員は約2400万人、海外地区は約300万人。現時点では両方に影響する可能性があるため、合計約2700万人にパスワード変更を依頼することになる。
JMB会員サイトでは、マイレージ番号(お得意様番号、数字7ケタか9ケタ)とパスワード(数字6ケタ)があれば、どこからでもログインできる。パスワードにはアルファベットなどを含めることができず、仕組み上、第三者によるなりすましログインに対して脆弱性がある。JAL以外の航空会社でも、限られたケタ数のマイレージ番号とパスワード・暗証番号でログインできる仕組みを採用しているケースが少なくない。