Appendix

広告

Entries

LINEは危険なアプリ アカウント乗っ取りがすごく楽!


 今までに話題にしていない話だし、興味ある人は少ないかな?と思いつつも、爆発的な普及度を誇るサービスですから、今後使う方も多いはずです。

 そして、今回取り上げるのはセキュリティという重要な問題です。

 自衛策・対処法が少しでも多く知ってもらった方が良いだろうということで、紹介します。


 とりあえず、LINEは私も使ってないのでよく知りませんから、Wikipediaの説明をさらっと。
LINE(ライン)とは、NAVER (NHN Japan)が提供している、携帯電話(スマートフォン・フィーチャーフォン)・パソコン向けのインターネット電話やテキストチャットなどのリアルタイムコミュニケーションを行うためのインスタントメッセンジャーである。App Storeでのカテゴリは「ソーシャルネットワーキング」となっており、テキストチャットのことはトークまたはメールと称している。


LINEはスマートフォン・フィーチャーフォン・パソコンで利用できるアプリケーションで、スマートフォンではAndroid, iOS, Windows Phone を搭載した端末に提供されている。2012年6月6日付けのニュースリリースで、登録ユーザー数が世界で4000万人を突破したと発表した。

通話やチャットを行いたい相手同士でこのアプリケーションをインストールしておけば、通信キャリアや端末を問わず、相手とインターネット電話やチャットを行うことができる。複数人でのグループ通話にも対応している。フィーチャーフォンではテキストチャットの機能が利用でき、ボイスチャットは利用不可。通常の電話と異なりパケット通信を利用するインターネット電話であり、パケット通信料の定額サービスなどに加入していれば、電話代を課金されることなく無制限に電話をかけることができる。このアプリケーション自体が無料で提供されていることもあり、「無料通話」などと宣伝されている。しかしながらこれは前述のとおりパケット通信料が定額の場合の話であり、従量課金であれば莫大な通信料が請求される可能性もあるため注意が必要である。

テキストチャットはスタンプや絵文字が多種揃っている。

 というか、Wikipediaもあんまり詳しくなかったです。

 さて、本題。


 注意事項が載っていたのは、LINEアカウントは乗っ取られやすい!?LINEの仕組みと注意すべきポイントまとめ(2012年8月16日(木) 14:48 情報科学屋さんを目指す人のメモ)です。

 記事ではとりあえず、アカウントが乗っ取られたときの危険性が書かれていますが、これはまあ普通どのサービスでも悪いことです。

 LINEの場合は以下が可能なようです。

・成りすまし

・受信を盗み見られる

・会話を盗み見られる

・履歴を消される


 しかし、LINE特有の脆弱性もあります。

 その説明の前に、まず基礎知識として"LINEでは、「メールアドレス」と「パスワード」を知っている人がLINEアカウントの持ち主であると扱われ"ることが重要なようです。

 "アカウントを作るときに登録した「電話番号」"は全く関係ないようなのです。

 作者はこの点を"誤解されやすいこと"だとして、強調していました。


 基礎知識を抑えたところで、さあ、いよいよ具体的な問題点についてです。

 悪用の危険があるため、これらの情報は載せずに対策だけを載せた方が良いのかもとも考えましたが、具体的な危険性も載せます。

 私は前掲のように参照元をリンクしますし、リンクしなくても検索すればすぐわかります。悪意のある人は行動するので、情報を得るのは簡単です。

 一方、一般の人はそこまでの手間はかけません。でしたら、普通の人にもどれだけ危険かをよく理解してもらった方が、利点が大きいと思うからです。


 また、ごちゃごちゃ書いちゃった。今度こそ、具体的な問題点。
私は以前、パスワードを忘れてしまい、PC版で「パスワードを忘れた方」というボタンをクリックしました。

(中略)

私は「きっと、メールアドレスに確認メールを飛ばせるのだろう」と思っていました。しかし、そうではありませんでした。「メールアドレスの持ち主かどうか」で本人確認をするのではないのです。

危険性1 登録のメールアドレスへの送信などで、本人確認がされない。

 なんかそれっぽいメッセージは出るんですが、メールアドレスに確認メールが来ることはないようなのです。

「パスワードを変更するために、現在のパスワードを入力する必要がない」のです。パスワードの変更はその場で完了し、登録メールアドレス宛にメールが届くこともありません。つまり、「端末を操作できること」だけでパスワード変更のための本人確認をしているのです。

危険性2 パスワードを変更するために、現在のパスワードを入力する必要がない。

 これはヤバイと思いますよ。弱小サービスならそんなもので良いのかもしれませんが、普通は確認させます。


 これらの問題はスマートフォンという携帯されるものでのアプリということで、その危険性を増します。

 結果としてどうなるか?と言うと、こうなります。

ロックされていないスマートフォンから数十秒目を離しただけで危険


(中略)設定画面でメールアドレスを見ることができるため、これで結果として、利用中の(上書き後の)「メアド&パス」が知られてしまうことになります。

つまり、ログアウトする方法が無いLINEですから(アンインストールとアカウント削除以外、スマートフォンでログアウトする方法が見つからないよ><)、ロックのかかっていない端末から数十秒目を離しただけで、それを操作した悪者がパスワードを知る(上書きする)ことができ、乗っ取りや会話の盗み見の準備が可能なのです。


実験の結果、15秒の操作だけで「メアド&パス」が知られてしまう可能性


実際、設定するパスワードは6文字以上なら「aaaaaa」でも「111111」でもよいので、この作業は数十秒あれば可能です。実際に試してみたところ、LINEの起動からパスワードの変更完了までが15秒ほどで可能、メアドはその操作の途中で視認可能。つまり、15秒端末を操作できれば、LINEアカウントを乗っ取ることも可能というわけです。。。


他のアプリだったら?


個人の経験上であって、統計を取ったわけでは一切無いのですが、私は、「ログイン状態であってもパスワード部分は伏せ字になっているか表示されない」、「ログイン状態であってもパスワードの変更の際には現在のパスワードが必要」、「現在のパスワードを忘れた場合はメールアドレスの持ち主であることを証明することでパスワードの再設定が可能」、というパターンが多いように感じます。

この場合なら、こんな短い時間で「メアド&パス」が盗まれることはありませんし、さらに登録メールアドレスをそのスマートフォンで受け取れないようにPC専用アドレスなどにしておけば、そう短い時間でログインするために必要な情報を取得・上書きされることもないかと思います)。しかし、LINEはそうではありませんでした。

 ヤバイですよ、これ。


 しかし、作者は自衛策も提示していてくれましたので、ちょっと端折った上で掲載します。


●対策・予防方法

 ・端末にはロックをかけ、数十秒という短い時間であっても端末を放置しない。

 ・PCを持っているなら、PC版でログインする癖を付けて、強制ログアウト・ログイン不能にならないかチェックする。

 ・定期的にパスワードを変更する。

 ・LINE自体にロックをかける。(「プライバシー管理>パスコードロック」から4桁の暗証番号を設定)


 最後のものについては、作者は知らなかったそうで、知らない人が多いってことかもしれません。

 本来ならこれはサービス提供元側でもう少し気にかけなくちゃいけないわけで、初期設定でロックが必要にするべきなんでしょうね。

 言いすぎかもしれませんけど、これはもう「欠陥サービス」というレベルじゃないかな?と思います。


 今年、Gポイントというウェブ上のポイントサービス(お小遣いサイト)の老舗サイトで、不正にアクセスされて大量のポイントが第三者に使用されるという事件がありました。(最終的に第三者が換金できたかは不明。Amazonギフト券交換までは行われた)

 この事件の場合、実はGポイント側の対処不足の可能性が高いです。

 というのも、他のポイントサービスが当然やっている対策のいくつかをGポイントがやっていなかったためです。(確か、Amazonギフト券の本人確認の緩さ、同じIPアドレスからの連続アクセスに対する制限なしなどの脆弱性があった)


 犯人だって同じようなサービスを狙うのであれば、乗っ取りが楽ちんなサービスの方が良いですし、よく普及しているサービスの方が良いのです。

 そして、LINEはその両方をしっかり満たしているわけです。

 使用者はくれぐれもお気をつけください。


 追加
  ■アプリのLINE、出会い系としての危険性
  ■メッセンジャーアプリLINEのSNS参入の評判・LINEの長所と短所
  ■LINEで名前を本名にする危険性 意図しない人に知られるおそれ
  ■LINEの危険性 知らない人と「友だち」になったり、メッセージが来たりする

 関連
  ■よくあるパスワード 500例
  ■私的違法ダウンロード刑罰化で具体的に何が変わる?
  ■スポティファイ(スポッティファイ)の使い勝手と日本進出の可能性
  ■Googleの裏技、隠しコマンド、隠し機能、イースターエッグその8 ~404 NotFound、フライトシュミレーター~
  ■その他のインターネット、パソコンなどについて書いた記事

Appendix

広告

ブログ内 ウェブ全体
【過去の人気投稿】厳選300投稿からランダム表示









Appendix

最新投稿

広告

定番記事

世界一スポーツ選手の平均年収が高いのはサッカーでも野球でもない
チャッカマンは商標・商品名 じゃあ正式名称・一般名称は何?
ジャムおじさんの本名は?若い頃の名前は?バタコさんとの関係は?
ワタミの宅食はブラックじゃなくて超ホワイト?週5月収10万円
朝日あげの播磨屋、右翼疑惑を否定 むしろ右翼に睨まれている?
レーシック難民は嘘くさいしデマ?アメリカの調査では驚きの結果に
赤ピーマンと赤黄色オレンジのパプリカの緑黄色野菜・淡色野菜の分類
アマゾンロッカーってそんなにすごい?日本のコンビニ受け取りは?
就職率100%国際教養大(AIU)の悪い評判 企業は「使いにくい」
ミント・ハッカでゴキブリ対策のはずがシバンムシ大発生 名前の由来はかっこいい「死番虫」
移動スーパーの何がすごいのかわからない 「とくし丸」は全国で約100台
ビジネスの棲み分け・差別化の具体例 異業種対策には棲み分けがおすすめ
主な緑黄色野菜一覧 と 実は緑黄色野菜じゃない淡色野菜の種類
タコイカはタコ?イカ?イカの足の数10本・タコの足8本は本当か?
トンネルのシールドマシンは使い捨て…自らの墓穴を掘っている?
ユリゲラーのポケモンユンゲラー裁判、任天堂が勝てた意外な理由
好待遇・高待遇・厚待遇…正しいのはどれ?間違っているのはどれ?
コメダ珈琲は外資系(韓国系)ファンドが買収したって本当? MBKパートナーズとは?
大塚家具がやばい 転職社員を通報、「匠大塚はすぐ倒産」とネガキャン
不人気予想を覆したアメリカのドラえもん、人気の意外な理由は?

ランダムリンク
厳選200記事からランダムで









アーカイブ

説明

書いた人:千柿キロ(管理人)
サイト説明
ハンドルネームの由来

FC2カウンター

2010年3月から
それ以前が不明の理由