LINEは危険なアプリ アカウント乗っ取りがすごく楽！

　今までに話題にしていない話だし、興味ある人は少ないかな？と思いつつも、爆発的な普及度を誇るサービスですから、今後使う方も多いはずです。

　そして、今回取り上げるのはセキュリティという重要な問題です。

　自衛策・対処法が少しでも多く知ってもらった方が良いだろうということで、紹介します。


　とりあえず、LINEは私も使ってないのでよく知りませんから、Wikipediaの説明をさらっと。

LINE（ライン）とは、NAVER (NHN Japan)が提供している、携帯電話（スマートフォン・フィーチャーフォン）・パソコン向けのインターネット電話やテキストチャットなどのリアルタイムコミュニケーションを行うためのインスタントメッセンジャーである。App Storeでのカテゴリは「ソーシャルネットワーキング」となっており、テキストチャットのことはトークまたはメールと称している。


LINEはスマートフォン・フィーチャーフォン・パソコンで利用できるアプリケーションで、スマートフォンではAndroid, iOS, Windows Phone を搭載した端末に提供されている。2012年6月6日付けのニュースリリースで、登録ユーザー数が世界で4000万人を突破したと発表した。

通話やチャットを行いたい相手同士でこのアプリケーションをインストールしておけば、通信キャリアや端末を問わず、相手とインターネット電話やチャットを行うことができる。複数人でのグループ通話にも対応している。フィーチャーフォンではテキストチャットの機能が利用でき、ボイスチャットは利用不可。通常の電話と異なりパケット通信を利用するインターネット電話であり、パケット通信料の定額サービスなどに加入していれば、電話代を課金されることなく無制限に電話をかけることができる。このアプリケーション自体が無料で提供されていることもあり、「無料通話」などと宣伝されている。しかしながらこれは前述のとおりパケット通信料が定額の場合の話であり、従量課金であれば莫大な通信料が請求される可能性もあるため注意が必要である。

テキストチャットはスタンプや絵文字が多種揃っている。

　というか、Wikipediaもあんまり詳しくなかったです。

　さて、本題。


　注意事項が載っていたのは、LINEアカウントは乗っ取られやすい！？LINEの仕組みと注意すべきポイントまとめ(2012年8月16日(木) 14:48　情報科学屋さんを目指す人のメモ)です。

　記事ではとりあえず、アカウントが乗っ取られたときの危険性が書かれていますが、これはまあ普通どのサービスでも悪いことです。

　LINEの場合は以下が可能なようです。

・成りすまし

・受信を盗み見られる

・会話を盗み見られる

・履歴を消される


　しかし、LINE特有の脆弱性もあります。

　その説明の前に、まず基礎知識として"LINEでは、「メールアドレス」と「パスワード」を知っている人がLINEアカウントの持ち主であると扱われ"ることが重要なようです。

　"アカウントを作るときに登録した「電話番号」"は全く関係ないようなのです。

　作者はこの点を"誤解されやすいこと"だとして、強調していました。


　基礎知識を抑えたところで、さあ、いよいよ具体的な問題点についてです。

　悪用の危険があるため、これらの情報は載せずに対策だけを載せた方が良いのかもとも考えましたが、具体的な危険性も載せます。

　私は前掲のように参照元をリンクしますし、リンクしなくても検索すればすぐわかります。悪意のある人は行動するので、情報を得るのは簡単です。

　一方、一般の人はそこまでの手間はかけません。でしたら、普通の人にもどれだけ危険かをよく理解してもらった方が、利点が大きいと思うからです。


　また、ごちゃごちゃ書いちゃった。今度こそ、具体的な問題点。

私は以前、パスワードを忘れてしまい、PC版で「パスワードを忘れた方」というボタンをクリックしました。

(中略)

私は「きっと、メールアドレスに確認メールを飛ばせるのだろう」と思っていました。しかし、そうではありませんでした。「メールアドレスの持ち主かどうか」で本人確認をするのではないのです。

危険性1　登録のメールアドレスへの送信などで、本人確認がされない。

　なんかそれっぽいメッセージは出るんですが、メールアドレスに確認メールが来ることはないようなのです。

「パスワードを変更するために、現在のパスワードを入力する必要がない」のです。パスワードの変更はその場で完了し、登録メールアドレス宛にメールが届くこともありません。つまり、「端末を操作できること」だけでパスワード変更のための本人確認をしているのです。

危険性2　パスワードを変更するために、現在のパスワードを入力する必要がない。

　これはヤバイと思いますよ。弱小サービスならそんなもので良いのかもしれませんが、普通は確認させます。


　これらの問題はスマートフォンという携帯されるものでのアプリということで、その危険性を増します。

　結果としてどうなるか？と言うと、こうなります。

ロックされていないスマートフォンから数十秒目を離しただけで危険


(中略)設定画面でメールアドレスを見ることができるため、これで結果として、利用中の（上書き後の）「メアド＆パス」が知られてしまうことになります。

つまり、ログアウトする方法が無いLINEですから（アンインストールとアカウント削除以外、スマートフォンでログアウトする方法が見つからないよ＞＜）、ロックのかかっていない端末から数十秒目を離しただけで、それを操作した悪者がパスワードを知る（上書きする）ことができ、乗っ取りや会話の盗み見の準備が可能なのです。


実験の結果、１５秒の操作だけで「メアド＆パス」が知られてしまう可能性


実際、設定するパスワードは6文字以上なら「aaaaaa」でも「111111」でもよいので、この作業は数十秒あれば可能です。実際に試してみたところ、LINEの起動からパスワードの変更完了までが15秒ほどで可能、メアドはその操作の途中で視認可能。つまり、15秒端末を操作できれば、LINEアカウントを乗っ取ることも可能というわけです。。。


他のアプリだったら？


個人の経験上であって、統計を取ったわけでは一切無いのですが、私は、「ログイン状態であってもパスワード部分は伏せ字になっているか表示されない」、「ログイン状態であってもパスワードの変更の際には現在のパスワードが必要」、「現在のパスワードを忘れた場合はメールアドレスの持ち主であることを証明することでパスワードの再設定が可能」、というパターンが多いように感じます。

この場合なら、こんな短い時間で「メアド＆パス」が盗まれることはありませんし、さらに登録メールアドレスをそのスマートフォンで受け取れないようにPC専用アドレスなどにしておけば、そう短い時間でログインするために必要な情報を取得・上書きされることもないかと思います）。しかし、LINEはそうではありませんでした。

　ヤバイですよ、これ。


　しかし、作者は自衛策も提示していてくれましたので、ちょっと端折った上で掲載します。


●対策・予防方法

　・端末にはロックをかけ、数十秒という短い時間であっても端末を放置しない。

　・PCを持っているなら、PC版でログインする癖を付けて、強制ログアウト・ログイン不能にならないかチェックする。

　・定期的にパスワードを変更する。

　・LINE自体にロックをかける。(「プライバシー管理>パスコードロック」から４桁の暗証番号を設定)


　最後のものについては、作者は知らなかったそうで、知らない人が多いってことかもしれません。

　本来ならこれはサービス提供元側でもう少し気にかけなくちゃいけないわけで、初期設定でロックが必要にするべきなんでしょうね。

　言いすぎかもしれませんけど、これはもう「欠陥サービス」というレベルじゃないかな？と思います。


　今年、Gポイントというウェブ上のポイントサービス(お小遣いサイト)の老舗サイトで、不正にアクセスされて大量のポイントが第三者に使用されるという事件がありました。(最終的に第三者が換金できたかは不明。Amazonギフト券交換までは行われた)

　この事件の場合、実はGポイント側の対処不足の可能性が高いです。

　というのも、他のポイントサービスが当然やっている対策のいくつかをGポイントがやっていなかったためです。(確か、Amazonギフト券の本人確認の緩さ、同じIPアドレスからの連続アクセスに対する制限なしなどの脆弱性があった)


　犯人だって同じようなサービスを狙うのであれば、乗っ取りが楽ちんなサービスの方が良いですし、よく普及しているサービスの方が良いのです。

　そして、LINEはその両方をしっかり満たしているわけです。

　使用者はくれぐれもお気をつけください。


　追加
　　■アプリのLINE、出会い系としての危険性
　　■メッセンジャーアプリLINEのSNS参入の評判・LINEの長所と短所
　　■LINEで名前を本名にする危険性 意図しない人に知られるおそれ
　　■LINEの危険性 知らない人と「友だち」になったり、メッセージが来たりする

　関連
　　■よくあるパスワード 500例
　　■私的違法ダウンロード刑罰化で具体的に何が変わる？
　　■スポティファイ(スポッティファイ)の使い勝手と日本進出の可能性
　　■Googleの裏技、隠しコマンド、隠し機能、イースターエッグその8　～404 NotFound、フライトシュミレーター～
　　■その他のインターネット、パソコンなどについて書いた記事