Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

JALマイレージバンクへの不正アクセス

法律

2月3日に発表され,大きく問題となっているJALマイレージバンクへの不正アクセス問題。


JALのプレスリリースには特に出ておらず,JMBのサイトには「特別なお知らせ」と題する表示が小さく出ているだけで,それほど大きく扱っているわけではない。

https://www.jal.co.jp/info/jmb/140203.html

今のところ原因は調査中とのこと。

JMBパスワードはJALホームページから変更可能ですので、ログイン後、マイエリア下にある「会員情報の参照・変更」をクリックし、「パスワード(PIN)変更」よりお手続きください。

不正と思われるログインの詳細については現在調査中ですが、関係当局と連携の上、迅速に事実解明を進めてまいります。


http://www.itmedia.co.jp/news/articles/1402/04/news075.html

上記2月4日12時57分時点のニュースでは,被害額はまだ合計数十万円程度にとどまるようだ。ただし,認証の仕組みは変えないという報道に非難が相次いだ。

同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」(同社広報部)としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。

その後,同日19時8分のニュースによれば,

「強化策の検討はしていない」とコメントしたが、改めての取材で「原因の特定を急ぐとともに、パスワードの方法を含めて今後の対応を検討していきたい」(同)と話している。

というコメントが追加されている。


まだ本件は,被害は大きく出ていないようだが,その後の賠償関係が気になるところ。


通常,この種のサービスの規約では,ユーザIDとパスワードが一致した場合における操作の効果は本人に帰属するとみなすことができるという「みなし本人帰属条項」があると思われる。形式的にこれを適用すれば,パスワードの一致によって不正アクセス者が利用した場合,「本人による利用」ということになり,サービス事業者は責任を負わないことになる。しかし,これは常に万能というわけではなく,無効あるいは限定解釈されるべきであることは多く指摘されている。


いわゆる電子商取引準則においても,平成25年版i-42において,

(事前合意が無効となる可能性がある例)
・ID・パスワードにより事業者が本人確認をしさえすれば、事業者に帰責性がある場合でも本人に効果が帰属するとする条項

とされている。さらに本人利用みなし条項については,第一法規クラウドビジネスと法」の162頁以下(森亮二先生)で有効性が論じられている*1。キャッシュカードの不正利用に関する裁判例最判平15.4.8判時1822-57)では,

無権限者に払戻しがされたことについて銀行が無過失であるというためには,払戻しの時点において通帳等と暗証番号の確認が機械で正しく行われたというだけでなく,機械払いシステムの利用者の過誤を減らし,預金者に暗証番号等の重要性を認識させることを含め,同システムが全体として,可能な限り,無権限者による払戻しを排除し得るよう組み立てられ,運営されるべきものであることを要する

とする。ATMと同列に論じられない面はあるが,上記事案は10年以上も前の出来事であり,現時点では,当然,高度な水準でのセキュリティ対策をしておくことが求められる。


ちなみに,私が見た規約では,上記のような本人利用みなし条項はなく,パスワードに関する規定は次のあたりのみだった。

10条 設定
会員は、所定の方法によりパスワードを登録するものとします。ただし、会員からの申し出がない場合、JMBが所定の方法によって登録し、会員に通知します。パスワードとして不適切と判断した場合、申請されたパスワードを、所定の方法により変更する場合があります。

11条 管理義務
会員はパスワードを他人に知られぬよう、善良なる管理者の十分な注意をもって管理するものとします。また、会員は、会員カードを他人に貸与、譲渡したり、カード情報を他人に提供し使用させたりすることはできません。

12条 変更
パスワードは変更可能です。会員は定期的に変更するように努める義務があります。変更は会員本人のみ可能とし、代理人、JMBではできません。

http://www.jal.co.jp/jalmile/kiyaku/

問題は,仮に今回,パスワードリスト攻撃(リストといっても数字を連続的に変更するだけだろうが)によって不正アクセスが行われた場合,事業者に過失があると言えるかどうか。この点については,すでに多くのセキュリティ専門家からの指摘もあり,私が指摘するまでもなく,事業者の過失なしとはいえないだろう。


『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激
http://matome.naver.jp/odai/2139143210572372701


さらには,今回の場合,たとえ「会員は定期的に変更するように努める義務」があるとしても,ユーザの側に過失があるとは思いにくく(誕生日などをパスワードとして設定していたとしても),過失相殺は難しい。


ちなみに,今回,JALから出ていた依頼「パスワードを変更してください」については,根本的解決にはならないし,それに応じてパスワードを変更しなかったユーザに過失を認めるべきではないことも指摘しておく(詳細は,上記リンク参照)。

*1:森先生は,表見代理の類推適用を認めるという立場に反対しつつ,本人利用みなし条項も限定解釈されるべきであることを説いている。