ガジェット通信

見たことのないものを見に行こう

LINEアカウントは乗っ取られやすい!?LINEの仕組みと注意すべきポイントまとめ

DATE: BY:
  • ガジェット通信を≫

この記事はdid2さんのブログ『情報科学屋さんを目指す人のメモ』からご寄稿いただきました。

※この記事は2012年08月01日に書かれたものです。

※記事のすべての画像が表示されない場合は、http://getnews.jp/archives/243233をごらんください。

LINEアカウントは乗っ取られやすい!?LINEの仕組みと注意すべきポイントまとめ

たったの15秒間あなたのスマートフォンが操作されただけで、LINEのパスワードが奪われるかもしれません

LINE*1における「パスワード」や「アカウント」の扱いに関して、いろいろと気になる点があったので、その詳細ついてメモ+注意喚起。

*1:「LINE」
http://line.naver.jp/ja/

背景

LINEは、ユーザが急増中*2で、しかも中高生のユーザが多い*3ことから、セキュリティに関する知識や経験に乏しいユーザが多いのではないかと思います。それを考えると、今回紹介するパスワード関連のトラブルに巻き込まれないか不安に思います。

*2:「「LINE」登録ユーザー数が世界5000万人突破」2012年7月26日『MarkeZine』
http://markezine.jp/article/detail/16122

*3:「いまさら聞けない『LINE』の魅力って何?」2012年7月17日『ガジェット通信』
http://getnews.jp/archives/233656

そこで今回は、LINEにおいて「パスワードが他人に知られてしまうとどうなってしまうのか」「LINEのアカウントを守るために注意すべきことは何なのか」などの知識や注意点をまとめてみました。まとめるにあたり、LINEならではの部分に注目したので、驚くポイントも多いのではないかと思います

また、途中難しい内容もあるかもしれませんが(そここそが興味深い点ではある)、記事の最後のほうに注意すべきことを「まとめ」という章に短くまとめておいたので、「まとめ」の「対策・予防方法」だけでもチェックしてみてください

基本知識:パスワードを他人に知られたら何が起こるのか

誤解されやすいことなのですが、LINEでは、「メールアドレス」と「パスワード」を知っている人がLINEアカウントの持ち主であると扱われます。

アカウントを作るときに登録した「電話番号」は、「メールアドレス・パスワード」ペアの前に無力です

この「メールアドレス」と「パスワード」を設定することの大切さについては「機種変でLINEアカウントが消える!?今すぐ確認したい重要設定と正しい引き継ぎ手順」*4で紹介していますので、そちらをご覧ください。

*4:「機種変でLINEアカウントが消える!?今すぐ確認したい重要設定と正しい引き継ぎ手順」2012年7月17日『情報科学屋さんを目指す人のメモ』
http://did2memo.net/2012/07/17/naver-line-must-setting/

もしパスワードがバレたら

さて、ここで、AさんのLINEアカウントの「メアド&パス」を、悪意のあるBさんがなぜか知っていた場合について考えてみます。もし、知っていたら、です。このとき、以下のようなことが起こるかもしれません。

CASE1: Bさんがアカウントを乗っ取る

Bさんが、自分の所有するスマートフォンでLINEに登録するときに、Aさんの「メアド&パス」を入力したとします。すると、Bさんは、AさんのアカウントでLINEを利用できるようになります。つまり、AさんのIDで、Aさんになりすましてトークを送受信できます。このとき、Bさんにとって、Aさんの電話番号は必要ありません。

これを読んで、「パスワードを知られたら乗っ取られて当然だろ?」と思うかもしれませんが、Aさんが電話番号の持ち主だからと言って、安心できない、そして、パスワードを変えられてしまったら奪われたアカウントを取り戻すこともできない、というところが重要です。全く別の端末からAさんのアカウント(ID)を使えるようになります。ここを誤解している人も多いのではないかと。

また、「メールアカウント自体は乗っ取られていないだろ?」と思うかもしれませんが、この作業中に、登録メールアドレス宛に確認URLの記載されたメールなどが届くことはありませんでした。つまり、AさんのアカウントはBさんにあっという間に乗っ取られてしまうのです。メールアドレスの持ち主でなくても、普通にログインするかのように、別の端末にアカウントを移すことができるのです。「端末」の概念が強いLINEならではですね。

以上のことは、自分が電話番号をまたいだLINEアカウントの移動を行った経験*5から分かったことです。

*5:「友達やグループを維持したままLINEアカウントを別の電話番号に移す方法」2012年7月9日『情報科学屋さんを目指す人のメモ』
http://did2memo.net/2012/07/09/how-to-move-naver-line-account/

CASE2: 突然LINEのデータが消える

CASE1で乗っ取られた場合、Aさんにとっての悲劇が続きます。

LINEアカウントは複数スマートフォン上で同時に利用できないため、古い端末(Aさんの端末)は強制的にログアウトされ、端末に保存されていたデータ(トーク履歴など)も消去されます。思い出の詰まったトーク履歴を大切にしている人にとってはまさに悲劇です。


http://px1img.getnews.jp/img/archives/naver-line-password-delete-data-in-previous-device.jpg
(出典:http://line.naver.jp/android/help/ja、8月1日現在)

つまり、「突然LINEのアカウントが消えた」なんてことが起こるかもしれないわけです。もちろん、何度も言うように、「メアド&パス」を知られてしまった場合、ですが。

CASE3: BさんがAさんのトークを覗き見る

「アカウントの乗っ取り」は「成りすまし」や「受信を盗み見られる」ことが懸念されますが、「過去のトーク」が引き継がれないため、「Aさんと友だちの会話」はバレずに済みます。しかし、「メアド&パス」が知られてしまった場合の危険性は「乗っ取り」だけではありません

LINEのメアド&パスには、アカウントを別の端末に移動させるために使うという側面以外に、「PC版(Windows版・Mac版)」や「ウェブブラウザ版」のログイン認証に使うという側面もあります。


http://px1img.getnews.jp/img/archives/naver-line-password-how-to-login-pc-version.jpg
(出典:ヘルプ | LINE(ライン)、8月1日現在)

実は、PC版やウェブブラウザ版はスマートフォンと同時にログインして使うことができ、同時に受信することができます。つまり、この場合は「会話を盗み見られる可能性がある」というわけです。

ただし、この場合はちょっとした対処法があるので紹介します(手元にあるAndroidアプリの場合で説明)。

ログイン中の端末をチェックする

「設定>メールアドレス登録>ログイン中の端末」で、現在ログイン中の端末(PC)を表示することができます。

つまり、ここに見覚えのない名前(PCの名前が表示されます)が表示された場合は、盗み見られている可能性があります

盗み見られているかも、と思ったら

すぐに見覚えのない名前の横にある「ログアウト」ボタンを押し、パスワードを変更してください(変更方法後述)。すると、ログイン中の端末は強制的にログアウトされ、パスワードも変わっているので再ログインされることもありません。

ただし、Aさんが寝ている間にログイン&ログアウトされた場合はログイン中の端末に表示されないので、無力です(Gmailみたいに、ログイン履歴(ログイン時刻とIPアドレス付き)が見れるようになっていればよいのですが、ログイン中の端末が見られるだけでもいいのかなぁ。Evernoteは見られないようですし)。

パスワードがバレたときの悲劇っぷりが凄まじい

以上のように、メールアドレスとパスワードが知られてしまうと、かなり危険であることが分かったと思います。これを知っておくだけで、スマートフォン+LINEで初めて自分のパスワードを利用し始めたような中高生も、だいぶパスワードの扱いに気を付けるようになるんじゃないかなぁ、と思います。「会話を覗き見られて」、「成りすまされて」、「履歴を消される」可能性があるわけですから。想像しただけでクラクラする人もいるはず(Twitter上をLINE関連で検索していると、しょっちゅう「うあああああ消えたあああああ」と叫んでいるTweetがひっかかります)。

この仕組みはLINEを使う上で非常に重要なので、是非知ってもらいたいと思います。

でも、「パスワードがバレたらこうなるのは当然」じゃない?

ここまでで紹介した危険性は改善の余地がある気もするのですが、この類の危険性は、ウェブメールサービスや、他のウェブサービスでも言える気もします。「パスワードを知られたのが悪いんだから、どうなっても仕方ない」と言われれば、そんな気もします。

ここからが本題

ただし、LINEの場合はその「メールアドレス」と「パスワード」の管理方法が、特別気を付けた方が良いと思われる仕様なのです。

ここからが本題

LINEにおける「パスワードを忘れた場合」

私は以前、パスワードを忘れてしまい、PC版で「パスワードを忘れた方」というボタンをクリックしました。すると、次のメッセージが表示されました。


http://px1img.getnews.jp/img/archives/naver-line-password-if-you-forget-your-password.jpg

私はこれを見て「あれ?」と思ったのですが、みなさんはどうでしょう。私は「きっと、メールアドレスに確認メールを飛ばせるのだろう」と思っていました。しかし、そうではありませんでした。「メールアドレスの持ち主かどうか」で本人確認をするのではないのです。

最重要ポイント:LINEにおける「パスワードの変更方法」

そこで、LINEアプリ(Android版 バージョン2.5.6)を起動して、「設定>メールアドレス登録>メールアドレス登録>パスワードの変更」と進めてみると、次の画面が表示されます。


http://px1img.getnews.jp/img/archives/naver-line-password-change-password-message.jpg

また私は「あれ?」と思いました。「パスワードを変更するために、現在のパスワードを入力する必要がない」のです。パスワードの変更はその場で完了し、登録メールアドレス宛にメールが届くこともありません。つまり、「端末を操作できること」だけでパスワード変更のための本人確認をしているのです。


http://px1img.getnews.jp/img/archives/naver-line-password-change-password-page.jpg

ロックされていないスマートフォンから数十秒目を離しただけで危険

また、設定画面でメールアドレスを見ることができるため、これで結果として、利用中の(上書き後の)「メアド&パス」が知られてしまうことになります

つまり、ログアウトする方法が無いLINEですから(アンインストールとアカウント削除以外、スマートフォンでログアウトする方法が見つからないよ><)、ロックのかかっていない端末から数十秒目を離しただけで、それを操作した悪者がパスワードを知る(上書きする)ことができ、乗っ取りや会話の盗み見の準備が可能なのです

実験の結果、15秒の操作だけで「メアド&パス」が知られてしまう可能性

実際、設定するパスワードは6文字以上なら「aaaaaa」でも「111111」でもよいので、この作業は数十秒あれば可能です。実際に試してみたところ、LINEの起動からパスワードの変更完了までが15秒ほどで可能、メアドはその操作の途中で視認可能。つまり、15秒端末を操作できれば、LINEアカウントを乗っ取ることも可能というわけです。。。

他のアプリだったら?

個人の経験上であって、統計を取ったわけでは一切無いのですが、私は、「ログイン状態であってもパスワード部分は伏せ字になっているか表示されない」、「ログイン状態であってもパスワードの変更の際には現在のパスワードが必要」、「現在のパスワードを忘れた場合はメールアドレスの持ち主であることを証明することでパスワードの再設定が可能」、というパターンが多いように感じます。

この場合なら、こんな短い時間で「メアド&パス」が盗まれることはありませんし、さらに登録メールアドレスをそのスマートフォンで受け取れないようにPC専用アドレスなどにしておけば、そう短い時間でログインするために必要な情報を取得・上書きされることもないかと思います)。しかし、LINEはそうではありませんでした。もしかしたら、LINE以外にもこのように簡単にパスワードが上書きできるアプリがたくさんあるのかもしれませんが。

「端末を盗まれないので気がつかない」という危険性

端末を盗まれたらじっくりいろいろやられてしまいそうだと多くの人が予想できますが、盗まれておらず、ほんの少しの時間しか目を離していなかったはずなのに、気が付いたら会話を盗み見られていた、なんていう危険性があるわけです。この危険性を知っておくことがまず大切だと思います。「イタズラのつもり」でこのような攻撃を受ける可能性は十分に考えられます。

また、パスワード変更の際に現在のパスワードが不要で、かつ登録メールアドレスへのメールが一切発生しないため、パスワードの勝手な上書きから乗っ取りまで、非常に気が付きにくいと考えられます。PCとは無縁でPC版を知らない人(多そう)からすれば、「盗み見られているかも」などという発想すら永遠に出てこない可能性があります。

そして、先ほど述べたように、別端末からの登録の際にもメールアドレスの所有(受け取り権限)が不要であるため、悪意のあるユーザは、自分が受信可能なメールアドレスをAさんの端末に残す必要すらない、つまり、多少時間のかかるメールアドレスの入力すら不要なわけです。

この、パスワードリセット・端末間のアカウント移動時にメールアドレスの閲覧権限が不要で、それらに関するお知らせは来ない、というのを知っておくこともかなり重要に感じます。もちろん一番重要なのは「パスワードが簡単に上書きできる」ということと、「それが危なっかしい」ということを知っておくこと、ですが。

でも、自衛可能

そうは言っても、スマートフォンを他人に一切触らせないように徹底すれば問題ないので、自衛できるはずであり、この仕様が悪いかどうか判断しにくいのですが、やはりこのあたりのLINEの仕様が、この記事のタイトルである「LINEアカウントは乗っ取られやすい!?」と私が感じたポイントになります。ひと言で言ってしまえば、あまりに乗っ取りが容易なのです。

まとめ

以上のように、私がアカウントの引っ越しやらパスワード忘れやらでいろいろとLINEをいじっているうちに、「これ、油断すると危険じゃない!?」ということがわかりました。

ここまでに紹介したことに加えて、自分なりに知恵を絞って(?)考えた対策などなどをまとめておきます。是非参考にしてみてください(一覧性を高めたかったので、説明が短くなっています。詳細については、本文に触れたものも多いので、そちらを参考にしてください)。

対策・予防方法

●☆最重要☆端末にはロックをかけ、数十秒という短い時間であっても端末を放置しない(15秒程度の操作でパスワードを上書きされる恐れあり)
端末・電話番号が手元にあるからといって安心しない(誰かがパスワードを上書きした後かもしれない)
●PCを持っているなら、PC版でログインする癖を付けて、強制ログアウト・ログイン不能にならないかチェックする(誰かがパスワードを上書きした場合、強制ログアウト・ログイン不能になり、パスワード漏洩を検出できる)
●定期的にパスワードを変更する(PCからの覗き見が行われていた場合、パスワード変更後、覗き見ができなくなります)

追記(2012/08/02)

LINE自体にもロックをかける機能がある*6ようで、「プライバシー管理>パスコードロック」から4桁の暗証番号を設定できます。とりあえずこれを設定するのがよさそうです。私は存在自体知らなかったのですが、これを知っておくとだいぶマシになるかもしれません。デフォルトでないこと、はまぁいいにしても、この機能の存在自体を知らない人が多そうであることが問題ですが。

*6:「@did2memo」2012年8月1日『Twitter』
https://twitter.com/KEn247M/status/230680806950064129

おかしいな、と気が付くきっかけ

突然自分のLINEアプリのデータが消えた
→乗っ取られた可能性(たしか「他の端末でログインしたため~」のようなメッセージが出るはず)。
自分がした覚えのない発言がある
→誰かがPC版でログインして発言した可能性
●トークを読んだつもりがないのに、「ちょっとー、既読になってたよー、無視しないでよ-」などと言われた場合
→誰かがPC版でログインして既読になった可能性
●ログインしていたPC版が強制ログアウトされた
→誰かがパスワードを上書きした可能性
●PC版からログインしようとしたら、パスワードが違うと言われてしまった
→誰かがパスワードを上書きした可能性

もしかして、パスワードがバレていると思ったら

●「設定>メールアドレス登録>ログイン中の端末」からログイン中の端末をチェックする。(ログイン履歴が見れるわけではないので注意)
●誰かにトークを送信してもらい、自分はそれを読まず、勝手に既読になっていないか(自分以外の誰かが見ていないか)チェックする。(既読にせずに読む方法もあるようなので注意)

以上がまとめです。

こうならいいのに

ついでに、こういう仕様ならもうすこしいいのかなー(つまり現在そうではない)と思ったことをメモしておきます。このあたりのセキュリティに関することは注意深く考えなくてはいけないすごく難しいことなので、見当違いかもしれませんが。

●ログイン中の端末だけでなく、ログイン履歴が見れる
●パスワードやメールアドレスを変更する場合は、それがログイン中の端末からであっても現在のパスワードを要求する
●ログアウトできる(やり方が分かりません><)
●パスワードを忘れた場合は、登録メールアドレスを入力することで、その登録メールアドレス宛に確認メール(パスワード再設定用のURLや、再設定用のコード)の送信を要求できる
●パスワードが変更された場合、登録メールアドレスに通知する(本当はこれ専用のメールアドレスを登録したい)
●そしてそのメールには、アカウントを取り戻すためのURLが含まれている

ちなみに

イタズラだと思っても、他人のアカウントに勝手にログインした場合、”イタズラ”では済みません。罪に問われる可能性があります、きっと(参考:不正アクセス行為の禁止等に関する法律 – Wikipedia*7)。

*7:「不正アクセス行為の禁止等に関する法律」『Wikipedia』
http://ja.wikipedia.org/wiki/%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E8%A1%8C%E7%82%BA%E3%81%AE%E7%A6%81%E6%AD%A2%E7%AD%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%95%E5%BE%8B

ひとこと

この記事を書こうか少し迷ったのですが、普通に使っているだけで分かる明らかなことばかり(パスワードの変更方法や引き継ぎ方法など)なので、書くことにしました。LINEの仕様に問題があるかといえば、言ってることは、「端末を他の人に操作されたらアカウントを乗っ取られるよ」という普通のことですし。

ただ、自分はやはり「パスワードがこんなに簡単に上書きできるなんて怖いなぁ」と思ってしまいます。

問題や間違っている点、仕様の変更などがありましたら、コメントにて連絡していただければと思います。

追記(2012-08-06)

本日Android版LINEが大幅にバージョンアップ(バージョン2.5.6→3.0.0)されました。ひとことが消えたり、タイムラインが追加されたり、設定画面への行き方が少し変わったりしていました。そこで確認したところ、パスワードの変更方法・変更画面には変化がありませんでした(実験済み)。引っ越し手順についても同様です(実験済み)。パスワードの変更方法については要望済み(問題報告フォームしか見つからなかったので、そこから要望した)なので、もしかしたら対応があったかなーとか期待したのですが、そんなことはなかったみたいです。

追記(2012-08-07)

LINE 3.0.2にバージョンアップ。パスワード変更画面に変化なし。

追記(2012-08-16)

LINE 3.0.3のパスワード設定画面をチェックしたところ、パスワードを変更する際に、現在のパスワードを要求する仕様に変更されました。そして、同じ設定画面に「パスワードを忘れた場合」というリンクも追加されました。このリンクから登録メールアドレスへ「確認メール」が送信できるようになりました(このブログエントリの効果か、要望の効果があったかもしれません)。Playストアの「最新情報」には「メールアドレス認証のセキュリティ強化」と書かれていました。

ここで大切なのは、「今までは現在のパスワードなしにパスワードを変更できた」ということと、「今回その仕様が変更された」という点を、ユーザ各自がどう捉えるか、だと思います。そして、このエントリでは、パスワードの変更方法について以外にも、様々なLINEアカウントに関する仕組みを紹介しました。それらを意識して使うことも大切です(それらについても仕様変更があった可能性はあるものの、未検証)。そして何より、「セキュリティに気を遣ってLINEやその他のソフトウェア・サービスを使うことを心がける」というが大切です。今回のLINEの例は、セキュリティの意識を高めるいい題材になるのではないかと思います。

なにかまた気がついた場合には、別エントリで指摘しようと思います。

執筆: この記事はdid2さんのブログ『情報科学屋さんを目指す人のメモ』からご寄稿いただきました。

寄稿の記事一覧をみる ▶

記者:

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。

TOP