マイル確認で、何もしてない可能性は高いですね。

徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、最近気づいたことがあります。
高橋: それそれ、教えて下さいよ。
徳丸: パスワードを狙った攻撃というと、パスワードが分かったらすぐに悪用すると思いませんか?
高橋: はい。違うのですか?
徳丸: 違うかもなと思い始めたのです。悪用するとバレやすくなりますから。
高橋: 結局ばれるんじゃないのですか? 今回も発覚はしていますよ。
徳丸: はい。ですが、最初の一人でばれると、悪人のもうけが減るじゃないですか。
高橋: はー。すぐ悪用しないとすると、どうだったと推測されますか?
徳丸: JALとANAの事件では、以下のプロセスが必要ですが、1と2は続けてやるとして、攻撃対象のアカウントをためておいて、3は後でまとめて実行した可能性があります。
ログイン画面でパスワードを試行する
ログインできたユーザのマイルの残高を確認する
マイルを悪用する
高橋: 続けて実行するのとどう違いますか?
徳丸: 今回の事件でも、利用者からの通報で発覚しましたが、不正ログインしてマイル残高を確認するまでであれば、利用者は不正を知る術がないのですよ。
高橋: そういえば、そうですね。私のアカウントは大丈夫かしら。
徳丸: ひょっとするとログインまでは成功していて、マイルが少ないから何もされていないだけかもしれませんね。

ANAの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記