QUOIT Blog

LINE、ヤバくない?

この記事は3年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。

先日、LINEの利用をやめました。
自分の周りにもユーザーが多いので、しばらくは便利に使っていたのですけどね…
最終的なきっかけは、巷で話題騒然の乗っ取り事件。
そんな状況を運営が放って置いているかというとそんなことはないのですが、その対応が大変イマイチというかそもそも的外れで無いでしょうか、と思わざるを得ない。
思い返してみるといろいろアレなことを感じられたので、チラシの裏にまとめます。

乗っ取り事件、問題点はどこ?

LINE乗っ取り事件についてはニュースで散々やってますし、説明は省きます。
相次ぐ乗っ取り事件、もはや世間の皆様は話しかけてきた人をおちょくるという方向で楽しみを見出してしまってますが、改めてこの事件の問題点を確認したいと思います。

1. LINEのアカウントが乗っ取られる
  →過去の会話から、大事な情報(メアド、住所、口座番号とかいろいろ)がバレてしまうかもしれない。ヤバイ。
  →変な会話(詐欺的なこととか)されて、友達の信用を失うかもしれない。ヤバイ。
  →そもそも乗っ取られることがセキュリティ意識の甘さと捉えられて、信用を失うかもしれない。ヤバイ。
2. パスワードがバレる
  →他のサービスで同じパスワード使ってたらヤバイ。
  →バレた時点で他のパスワードに変えられちゃうかもしれない。ヤバイ。

そう、ヤバイですね。
これは何とかしないと、利用者が安心できません。

そこで、LINE側が考えた対策がこちら。

【重要】スマートフォン版LINEのセキュリティ強化のため、「PINコード」による本人確認手順を追加しました(7/17開始) : LINE公式ブログ

見知らぬ人がスマートフォンでログインしようとした場合には、「LINEユーザーログイン」での認証途中に「PINコード」を入力する画面が表示されます。

そのため、たとえ、不正ログインの犯人がメールアドレスとパスワードの組み合わせによる認証ステップを通過しても、今回新たに登場した「PINコード」を知らなければアカウントにログインする(乗っ取る)ことはできません。

認証を強化してやったから乗っ取られないんだぜドヤァ、というわけです。
ダメ押しにこれだぜ?と言わんばかりに追加の対策。

【セキュリティ強化】PC版LINE及びLINE ウェブストアにログインすると、LINEに通知が届くようになりました : LINE公式ブログ

もしも無理矢理ログインしようとしたら、通知がきて分かるようになるんだドヤァァァァ。
これで乗っ取りなんてあり得ないぜ!っていうところに、下記の記事です。

パスワードもオリジナルでPINコードも設定してるのにLINEが乗っ取られた | More Access! More Fun!

えっ。
対策って一体…と思わざるを得ません。

とは言え、ですね。問題はそこじゃない。

対策が残念な結果に終わっていることはともかく、そもそもこの事件に関する問題点が技術的な論点からしか語られていないことに違和感を覚えます。

私が利用者だったら、LINE側に強く調査を要請したいのは、
どこから情報は漏れちゃってるの?という一点です。

PINコードだろうが二段階認証だろうが、そこの穴がふさがれなかったら状況が変わるわけないんです。

LINE側はセキュリティ対策したんだぜドヤァなんてブログで言ってる場合ではなく、漏洩元を死にものぐるいで調査したほうがいいと思うんですよね。

他のサービスから可逆性のパスワードが漏洩したんだ!って主張はさすがに通らないんじゃないでしょうか。
PINコードどこいった、って話になるので。

僕は利用者じゃないので知りませんけど。

昔からなんかズレてない?

今どういう状況になってるのか知りませんが、こんなのもありましたね。

LINEで勝手に他人のメールアドレスを登録できる件 (追記あり)#LINE

あくまで個人の感想ですけど、他人が乗っ取りやすそうなシステムっていうか、セキュリティがザルっていう印象なんだよなぁ。

韓国企業であることを何故か隠そうとする会社自体もあまり好きではないのですが、それは個人的な好き嫌いの話としても、堂々と傍受されているという指摘もあったりして、そういえばこの件はその後進展してるのかなあ。

それでも便利なので使う、という選択肢は僕には取れませんでした。

Comments are closed.