LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

LINE「ログイン許可をオフ」は間違った乗っ取り対策なので注意

LINE (1015) LINE-セキュリティ (51) LINE-乗っ取り (21)

LINEのアカウント乗っ取りを利用した"Web Money"詐欺がTVにも取り上げられてからしばらくが経ち、乗っ取り被害は確認できているだけでおよそ600万円になっているというニュースが出ました。この乗っ取りには、効果的な対策があるのですが、NHKニュースをはじめ、各所で「他端末ログイン許可をオフにすれば乗っ取りが防げる」という間違った対策が紹介されてしまっており、防げずにいます(2016年現在設定名が「ログイン許可」に変更されています)。

そこで、なぜ「他端末ログイン許可をオフ」という対策が無駄なのかを解説します。ポイントは、「他端末ログイン許可オフで【パソコン】からのログインは拒否できるが、【スマートフォン】からのログインは拒否できない」です。

naver-line-other-devices-login-permission

間違った対策の紹介がNHKのニュースで

「他端末ログイン許可をオフにする」という、乗っ取りを防ぐことができない対策は、NHKのニュース番組でも紹介されていました。これが、最も大きな影響を与えたと思います。

私も生でニュースを見ていたのですが、NHKのニュースでは、「パスワードを変更する」という対策を紹介した後に、「他端末ログイン許可をオフ」にする設定を紹介をしていました

※その時のニュース映像のキャプチャ画像がありました:http://p.twipple.jp/DqYZB

このニュースを発端にしてか、だいぶこの対策が広まっています。

パスワード変更は、とても効果的な設定ですが、「他端末ログイン許可のオフ」は別の問題への対策であって、今回の乗っ取り対策には全くと言っていいほど効果がない、的外れな対策です

パスワード変更のみ紹介すれば十分であり、他端末ログイン許可のオフは、パスワード変更と組み合わせなければ乗っ取られるだけですし、パスワード変更と組み合わせるにしても、今回の乗っ取り詐欺問題についてはパスワード変更で十分すぎて、乗っ取りを防ぐという目的に関して追加の効果もありません。

どちらにせよ、上記のツイートのような、「他端末ログイン許可をオフ」が乗っ取り予防になるという誤解の原因になってしまっています

一部気がついた人

もしかして、と気がついている人もいます。

「他端末ログイン許可のオフ」の正しい適用範囲

「他端末ログイン許可のオフに効果がある」という誤解は、その設定名だけを見て想像をふくらませた結果だと思います。

ここで言う「他端末」は、設定項目のすぐ下に書いてある説明の通り、「PC」限定で、スマートフォンは含んでいませんここで、「スマートフォンからのログインも拒否できる」という誤解が発生しています。

スマートフォンからは、「他端末ログイン許可をオフ」にしたとしても、自由にログインできてしまいます(実際にiPhoneに設定し、Androidからのログインを実験しました)。

LINE公式情報

また、LINE公式ブログにも、これに関する記述があるので引用しておきます。

「他端末ログイン」設定をOFFにした場合、PC版LINEへのログインは不可能になりますが、他のスマートフォンからのLINEユーザーログインは可能です。不正ログインの被害を未然に防ぐためには、他社サービスとは違った独自のパスワードへの変更を必ず実施していただきますようお願いいたします。 引用元

というわけで、「他端末ログイン許可のオフ」の効果の正しい理解は、次のようにまとめられます。

「他端末ログイン許可オフ」の効果

パソコン*からのログインは拒否できるが、スマートフォン**からのログインは拒否できない(*PC版LINEアプリおよびWIN8版LINEアプリ。**iPhone版LINEやAndroid版LINEなどその他のスマートフォン版アプリ)

なので、この対策だけでは、今回問題になっている「パスワードを把握してしまっている詐欺業者」はスマートフォンから楽々とログインできてしまいます

詐欺業者はパソコンからログインじゃないの?

さて、これについて、「業者はきっと操作しやすいからパソコンからログインしている、だから対策になるんだ」という、また別の勘違いもしやすいのですが、一度スマートフォンからログインしてしまえば、他端末ログイン許可を「オン」にすることも簡単なので、そういう意味でも、「他端末ログイン許可が対策になる」という認識は間違いです。

その話は後回しにするにしても、パソコンからのログインと、スマートフォンからのログインでは、乗っ取られた側の挙動が違うことに注目すると、本当に業者がスマートフォンからログインしていることが分かります。

詐欺業者に「スマートフォン版LINE」からログインされると、ログイン中だったユーザーは、強制ログアウトになり、まさに乗っ取り状態になります

しかし、詐欺業者が「PC版LINE」からログインしても、強制ログアウトにはならず、詐欺業者がどんなトークをだれに送ったかがスマートフォンにも表示されます

乗っ取られた人が、手元の端末に「利用することができません」と表示されて、アカウントが使えなくなり、アカウントを削除したり取り返したりできなくなるのは、スマートフォンから詐欺業者がログインしていることを表しています

詳細:【LINE】ID乗っ取り被害の症状と確認方法 | LINEの仕組み

でもパソコンからじゃないと大変でしょ?

実際、パソコンから操作したいのであれば、スマートフォンから乗っ取って、他端末ログイン許可をオンにしてから、パソコンから再度ログインすれば問題ありません。また、スマートフォンから乗っ取る操作も、スマートフォン本体は不要で、スマートフォンアプリをPC上で操作すれば良いわけです。

「他端末ログイン許可オフ」は回避できる

というわけで、「他端末ログイン許可オフ」という対策は、パスワードを入手した業者が簡単に回避できてしまいます

というより、回避というほどでもなく、勘違いした結果対策になっていないだけです。

「他端末ログイン許可オフ」のセキュリティ的効果

では、この設定を「オフ」にすることによる効果は何なのか、と言うと、「強制ログアウトされない=気が付かれないことを悪用した、トークの盗み見」の防止です。

しかし、これはNHKのニュースの時点であり、その報道から現在までにLINEがこの部分にセキュリティ対策を行い、現在は気が付かれてしまう仕様に変更されており、その仕様変更が対策になっています。つまり、他端末ログイン許可オフの価値は、以前より低下しています。

正しい対策

ここまでで、「他端末ログイン許可オフ」が、現在流行している乗っ取り業者からの被害を防ぐためには、間違った対策であることを説明しました。

今回の乗っ取り詐欺では、どこかのサービスから流出したメールアドレスとパスワードを利用したログインが行われています。なので、流出したのと同じメールアドレスとパスワードをLINEに設定していると、LINEへのログインに成功してしまい、乗っ取られてしまうわけです。

というわけで、パスワードの使い回しをしていた人がメールアドレスとパスワードを変更することは、とても効果的な対策です(もちろん簡単なパスワードを避けるなどの基本的なこともありますが、今回の大規模乗っ取りへの直接的な対策ではありません)

このパスワード変更という対策は冒頭に紹介したNHKのニュースでもしっかり言っていたので、ニュースの最後に「他端末ログイン許可」の設定の話題に触れなければよかったのですが。

関連:乗っ取られたかも?と思ったら

乗っ取られたかも?と思ったら、次の方法で確認してみてください。

参考:【LINE】ID乗っ取り被害の症状と確認方法 | LINEの仕組み

関連:乗っ取られたあとの対策

乗っ取られたことがわかったら、LINEに通報して、有料スタンプなどの復旧をしてもらいましょう。

参考:【LINE】乗っ取り被害・なりすまし被害の通報・問い合わせ方法 | LINEの仕組み

コメント(0)

新しいコメントを投稿