LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

LINEのパスワード上書き被害への対策手順案を考えてみた

Android (363) iPhone (831) LINE (1104)

以前の記事で、「LINEのパスワード変更に現在のパスワードが不要である」という点を指摘しました。そして、これにより、悪意のある人物に短時間端末を操作されるだけで、パスワードが上書きされてしまい、トークの盗み見などの被害にあう可能性があることについて解説しました。それからしばらくして、対策を施したバージョンのLINEが公開されました(冒頭のリンク先記事の追記参照)。しかし、これだけでは被害を断ち切るための対策としては不十分ではないかと考えられたため、具体的な対策法案と、その理由について紹介します。

※今回の記事は、@pochi_pさんの指摘にヒントを得て書いたものです。 @pochi_pさん、ありがとうございました。

※また、基本的にAndroid版LINEを参考に記述しています。iPhone版などでは、バージョンアップタイミングや、表示メッセージについての記述が当てはまらないかもしれません。

問題概要

なぜ対策が必要であるという考えに至ったかというと、「対策が強制アップデートではないこと」と「すでにパスワードが上書きされていた場合、アップデートしても被害(主に盗み見)を止められない」の2点があるからです。特に、後者について重要視しています。

対策概要

簡単に対策法を簡単に紹介すると、次の2点です。

  • 1.LINEを最新版にアップデートする

    LINEを最新版にアップデートしてください。これにより、新たにパスワード上書きの被害に遭うのを防ぐことができます。

  • 2.パスワードを変更する

    「その他>設定>メールアドレス登録>メールアドレス登録>パスワードの変更」からパスワードの変更を行ってください。これにより、既にパスワード上書き被害に遭っていた場合に、その上書きされたパスワードによる今後の不正ログインを防止できます。

最新版にアップデートして、パスワードを変更すればそれでとりあえず対策完了だと思われます。しかし、これだけだとだいぶ説明が足りないので、次にそれぞれ詳しく説明します。

対策1.LINEを最新版にアップデートする

古いバージョンの場合、パスワードの上書きに対して未対策のバージョンである場合があります。そのため、最新版にして、新しくパスワード上書きの被害に遭うことを防ぐ。ということが第一歩になります。ですので、「アップデートしない」という選択は良くありません。

ここでさらに問題になっているのが「タイムライン機能」の評判が悪い点です。「LINE最新版に対するユーザの反応と関心とは」で紹介したように、「タイムライン機能なんてものは不要」という意見と「友だちのひとことがさかのぼれない」ことに対する不満から、「最新版にアップデートしない方が良い」と考えている人がそれなりに見受けられるのです。

ここで重要なのは、パスワード上書き問題に対する対策が取られたのが、タイムライン導入より後のバージョンからであるということです。したがって、「タイムラインがまだ見られないバージョン」は即ち「パスワード上書き問題の残っているバージョン」となります。

したがって、あえて強く最新版にアップデートすることを勧める必要があるわけです。他のセキュリティ関連のバージョンアップの際には強制アップデートという手段がとられましたが、パスワード上書き問題については強制アップデートではないので、未対策バージョンが残っている、というわけです。

対策2.パスワードを変更する

続いて、パスワードを変更するという対策について説明します。しかしこれについてはかなり詳細な場合分けが存在するため、まずここでは簡単のために、「最新版(対策済み版)にアップデート済みである」場合についてのみ紹介します(そうでない場合については後述)。

では、「パスワード変更」をしたときの挙動について、場合分けしておきます。実際にパスワード変更を行ってみると、どれに分類されるのか分かると思います。

(i)パスワードを上書きされていなかった場合

パスワードを変更しようとすると、現在のパスワードを尋ねられます。現在のパスワードを入力して、パスワードの変更が可能になった場合、「上書きされていなかった」ということがわかります

この場合、無理にパスワードを変更する必要はありません。

(ii)パスワードを上書きされていた可能性がある場合

現在のパスワードを入力して、「エラー|パスワードが間違っています。もう一度入力してください。」と表示された場合、パスワードを上書きされた可能性があります(忘れた可能性もある)

この場合は、「パスワードを忘れた場合」から、メールアドレス宛にパスワードの再設定用メールを送信してもらって、パスワードを変更(再設定)してください。もし上書きされていて、パスワードが漏れていたとしても、再設定することで不正ログインを防ぐことができると考えられます。

(iii)パスワードとメールアドレスの両方を上書きされていた場合

パスワードを変更する前に、現在の登録メールアドレスが確認できます。このメールアドレスが、自分のメールアドレスでない場合、メールアドレスとパスワードの両方が上書きされた可能性が高いです。

この場合は、「メールアドレスを誤って登録した場合は、問題報告フォームより連絡してください。」にある「問題報告フォーム」から、運営に連絡して、メールアドレスおよびパスワードを再設定することで、不正ログインを防ぐことができると考えられます。

(iv)メールアドレス・パスワードがそもそも未登録の場合

この場合、当エントリで問題にしている過去のパスワード上書きによる不正ログインは発生しないと考えられます。

しかし、パスワードが未登録の状態では、機種変や故障時にアカウントの情報が消えてしまう危険性があるため、メールアドレスとパスワードを新規登録することをおすすめします。設定方法に関する詳細はこちら:「機種変でLINEアカウントが消える!?今すぐ確認したい重要設定と正しい引き継ぎ手順

以上の対策を行おう!

ここで紹介したように、最新版へのアップデートとパスワード変更の両方を実施してみることで、今後のパスワード上書き防止と、過去のパスワード上書き被害のチェックおよび、不正ログインの防止を達成できるはずです。

おまけ:上級者向け対策

以上は、簡潔に解説するために、最新版へのアップデートを先に行う前提で解説しています。もし、最新版でない場合は、アップデートを行う前にパスワードを変更するという対策も考えられます。アップデート前なら、簡単にパスワード・メールアドレスを上書き可能なので、万が一メールアドレスを上書きされたとしても、運営に連絡して変更してもらう必要が無くなります。

おまけ:バージョンアップでは足りなかったのかどうなのか考えてみる

LINEは、この問題について私が指摘してから十日程度で対策版をリリースしてくれました。しかし、これだけでは、問題に対する対策として不十分だったのかもしれません、というのがこのエントリの背景にある本題です。

ここで重要なのは、パスワードを上書きされる危険性を埋めたということから、危険性を把握していたことが推定できることです。これを根拠に、次のようなことが考えられます。

まず一つ目は、被害が新たに発生しないように危険性を排除するするだけではなく、すでに発生してしまった被害に対しても対策をするのが好ましかったのではないか、ということです。まず考えられるのは、パスワードを簡単に上書きされるかもしれない状態にあったことに関する注意喚起です。そして、現在のパスワードを無効化し、再設定を促す措置です。この2点によって、過去に存在していた危険性による被害を断ち切ることができます。しかし、そのようなことは実施されていないため、今回書いたような対策を各自が行う必要があるのです。

もう二つ目は、この問題に対処したアップデートが、他の脆弱性への対応時に実施していたような「強制アップデート」扱いにならなかったということです。つまり、アップデートしていないバージョンのユーザは、引き続き危険に晒されることになります。

とはいうものの、このような対策が悪いのかは私にははっきり分かりません。これほど大きく考える必要がない、小さなセキュリティアップデートだった、と判断した場合には、大がかりすぎる対策かもしれません。たしかに、他の手段でパスワードを知られてしまう場合(入力しているところを見られる・キーロガーなど)との危険性を比較して対して大きくなさそうだ、起こりにくいことである、こんなことをする人・される人は十分少ないだろう、などと考えれば、この判断も妥当かもしれないとも思えます(私の考えたパスワードの無効化などの案が大がかりすぎるだけで、他の対策があったかもしれないという可能性も重要)。

このように、この点について考えるのは難しいわけですが、結果、今回紹介したような対策が有効な状態なので、とりあえず対策を行ってみる、もしくは、パスワードが上書きされていないか確認してみる、というのをおすすめします。

最後に

LINEは頻繁にバージョンアップされているソフトウェアです。他の記事同様、ここに書かれている内容は、いつしか古くなってしまうと考えられます。その点の考慮を忘れずに。

また、私の認識間違いなどがある場合は、コメント等にて指摘していただければ、修正などの対応を検討しますので、よろしくお願いいたします。

コメント(0)

新しいコメントを投稿