この記事は、5分で読めます。
こんばんは。管理人のuncleゆーさん(@UncleYusan)です。
先日、2025年9月上旬から、ANAが提供する「ANAマイレージクラブ」アプリに、ログイン時の2段階認証が導入されることになったという発表がありました。
このアプリをマイル積算や予約の確認などでよく利用しています。
この発表を知ったはじめは、「まだ2段階認証を導入していなかったのか?」「それにしても遅すぎる」と思いました。
でもよくよく考えると、WEBサイトもスマホアプリでも航空券を予約する際、2段階認証になっていたことを思い出しました。
果たしてこれってどういうことなのか?
2段階認証とは?
そもそも「2段階認証」とは、ログインの際にIDとパスワードに加えて、別の認証要素を組み合わせて本人確認を行う仕組みです。
従来のIDとパスワードだけの認証では、万が一その情報が漏洩した場合、第三者に簡単に不正アクセスされてしまうリスクがありました。
そこで2段階認証では、パスワード入力に加えて、本人が所有するスマートフォンにSMSや電子メールなどで送信される「ワンタイムパスワード」などを要求します。
これにより、仮にパスワードが盗まれたとしても、本人のデバイスがなければログインができなくなります。
導入の概要
ANAの発表によると、2段階認証は2025年9月上旬に予定されているアプリのバージョンアップを機に導入されます。
バージョンアップ後、「アプリにログインする際」には、これまで通り「お客様番号」と「Webパスワード」の入力に加え、ANAマイレージクラブに登録済みのメールアドレス宛に送信されるワンタイムパスワード(確認コード)の入力が必要となります。
この変更は、アプリをバージョンアップしたすべての利用者が対象となります。アップデート後は再ログインと2段階認証の操作が必要になるため、今のうちに自身のメールアドレスに間違いがないか確認しておくことを強くおススメします。
変更点のポイントは「ログイン時」
ANAの発表を読むと、知らない人は、ANAのWEBサイトもANAマイレージクラブアプリも2段階認証も導入せずに、特典航空券の発券などをしているのかと驚かれるかもしれません。
しかし、実際は、「搭乗者の確認」を行う段階で、2段階認証が実施されるしくみが2022年8月31日から導入されていました。
やり方は、登録メールアドレスに送られてくるワンタイムパスワードによる2段階認証です。パスワードは、楽天証券のような数字と絵の中なら選びます。
要は、ANAのセキュリティ対策は、金融機関でいうところの、「ログイン」の際の2段階認証はやっていないが、「取引」の際の2段階認証はやっているという状況です。
このようにサービスの一部を利用する場合は、2段階認証を実施済みであるのですから、ANA側はそのことをはっきり発表記事のなかで記載しておくべきでした。
これでは、誤解を招き、利用者の不安を煽るとともに、世間に対してANAのセキュリティ対策はいったいどうなっているのかといったマイナスの印象を与えてしまいました。
一方、WEBサイトとアプリとも、現状では「ログイン時」には「お客様番号」と「パスワード」を入力するだけで、ログインできてしまいます。
ログイン時の2段階認証を導入していない問題点
ログイン時の2段階認証を導入していないため、もし「お客様番号」と「パスワード」が何らかの理由で漏洩したとすれば、簡単にログインできることになります。
ログインができても、特典航空券の発券、住所・電話番号変更、送付物の設定・変更などはワンタイムパスワードによる2段階が必要です。
しかし、「メールアドレスの登録・変更」や「統合済みカードのお客様番号一覧」の画面にアクセスが難なくできてしまい、登録メールアドレスやクレジットカード名とそれに紐づいたお客様番号がすべて見られてしまいます。
こうした情報を入手した犯人がさらに2次被害をもたらす可能性があるので、利用者としては、9月と言わずに即座に導入してもらいたいです。
それと今回の発表をみると、アプリだけの導入のようだが、WEBサイトについては上記のような問題点は引き続き継続されるわけですがら、こちらについてもすみやかに改善をしてもらいところです。
時代は「パスキー認証」なのに
2段階認証でも不正利用が防げない事例が数多く報告されています。
「中間者攻撃(MITM)」という方法で、ユーザーが正規サイトにログインしていると思い込んで情報を入力すると、攻撃者がそれを傍受し、認証コードごと盗み取ります。
これに対して有効な対策としては、「パスキー認証」の導入です。
今回、ANAがやろうとしている対策は、周回遅れのものです。このタイミングでやるなら、「パスキー認証」の導入をやってほしかったです。
そうすれば、利用者としては大きな安心感を得るとともに、ANA側もセキュリティ対策のイメージが大幅にアップしたことは間違いありません。
まとめ
今回の記事は、いかがでしたでしょうか。
今回は、先日発表された「ANAマイレージクラブアプリにログイン時の2段階認証が導入」について紹介しました。
先日、日本証券業協会が証券口座の乗っ取り対策として、ワンタイムパスワードを原則禁止とし、パスキーの導入を図る指針が示されました。
利用者にとっては、マイルも現金に等しいものですから、同じような対策をとってほしいところです。
もちろんそれによりコストが増えることになるかもしれません。マイルの不正利用が出た場合、「お客様番号」や「ログインパスワード」を会員本人が流出させた過失を証明しない限り、被害を補償することになるでしょう。
なので、セキュリティの強化はそうした補償額を減らすことにもなります。なによりも大切な顧客情報の流出によるさらなる2次被害を防ぐことになるわけですから、最大の配慮を要すべき事項のはずです。ANAにはそこを大切にしてほしいところです。
今回の記事がお役に立たのなら、うれしいです。
最後まで読んでいただきありがとうございました。
今回の記事が良ければ、ブックマークとスターをお願いします!
また、SNSでシェアして頂けると、モチベーションが上がります!
今後も役に立つ、記事を配信していきます。
