LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

【LINEセキュリティ】「パスワードを何度変更しても『LINEウェブストアにログインできませんでした』が届くのはどうして」の声と公式対策について

LINE (1012) LINE-セキュリティ (51) LINE-乗っ取り (21)

LINEユーザーの中に、「説明に従って、何度パスワードを変更しても、『LINEウェブストアにログインできませんでした。心当りがない場合はアカウント情報を変更してください」が届き続ける、どうすればいいのか」と、セキュリティに関して心配している人が複数人いて気になりました。これは、仕組みを知っていれば届いて当たり前なのですが、公式のアナウンス通りにしっかり作業をすると、こうなるのも仕方ないということがわかりました。この件について説明したいと思います。

※2014年12月13日追記:数日前より、心当たりの無いログイン失敗通知が再び増加している模様です。この記事を読んで、状況把握に努めてください。

↑当事者じゃない人向けの要約

naver-line-login-denied-messages

LINEのログイン成功通知

PC版LINEおよび、LINEウェブストアにログインすると、スマートフォン版LINEに、次の通知が届きます。

PCでLINEにログインしました。
ログイン中の端末:○○
心当りがない場合は下記のリンクからログアウトしてください
line://nv/connectedDevices/

LINEウェブストアにログインしました。
IP Address: ○○
心当りがない場合はアカウント情報を変更してください
http://line.me/HelpPassword

これは、何者かがメールアドレスとパスワードのペアを入手して、本人になりすましてログインした場合に備えて、本人のLINEアカウントへ通知するための機能です

LINEのログイン「失敗」通知

今回注目したいのは、「成功」通知ではなく、「失敗」通知です。

naver-line-login-denied-messages

PCでLINEにログインできませんでした。
ログインを試みた端末:○○
心当りがない場合はアカウント情報を変更してくださいhttp://line.me/HelpPassword

LINEウェブストアにログインできませんでした。
IP Address:○○
心当りがない場合はアカウント情報を変更してください
http://line.me/HelpPassword

このように、ログインに失敗した場合にも、メッセージ(通知)が届きます

心当りがない失敗通知が届いたら(公式)

さて、この失敗通知が届いて、しかも心当りがない場合、そのメッセージには、

心当りがない場合はアカウント情報を変更してください
http://line.me/HelpPassword

と、その対処法が書かれています。

「アカウント情報を変更」と書かれていますが、このリンク先は、ヘルプの「パスワードを変更するにはどうしたら良いですか?」です。

なので、ログインに失敗した通知が届いた場合の公式の対処法は、「パスワードの変更」ということになります。

LINE公式ブログにも、「すぐにパスワードの変更をしてください」と書かれています。

自分ではログインしていないのに上記の通知がきたら、それは見知らぬ人があなたのLINEアカウントでPCなどから不正ログインをした、またはログインを試した可能性があります

その場合はLINEアプリを開き、すぐにパスワードの変更をしてください引用元

このあたりで、「おや?」と、ちょっとひっかかる人もいるでしょう。しかし、そうでない人もいます。

公式対策をしてもログイン失敗通知が止まらない→どうすればいいの??

さて、このセキュリティにまつわる大切な通知を無視せずに、ちゃんと公式に案内された手順の通り、「パスワードを変更」したとします

そんなしっかりもののユーザーが、「パスワードを変更したのに、通知が止まらないのは一体どうして?おかしい!」と困惑しています

ちゃんと公式の指示にしたがった結果、何度もパスワードを変更しているユーザーもいます

当然、「パスワードを変更」しても「ログイン失敗」は続く

それもそのはずです。

乗っ取り犯が「ログインに失敗した」という通知は、乗っ取り犯の入力した「メールアドレスはあっていたけれど、パスワードは間違っていた」ということを意味します。

つまり、この時点でパスワードを変更しようがしまいが、乗っ取り犯が諦めない限り、ログインにチャレンジするたびに、失敗通知はやってきます

なので、何度も何度もパスワードを変更することは、効果がありません

そして、パスワード変更という対策自体に、通知を止める効果は全くありません

なので、パスワードを変更しても、来るものは来るのです。

LINE公式のメッセージに書かれた手順に従うと、「何度パスワードを変えてもLINEウェブストアにログインできませんでしたが届く」ということになって、当然といえば当然と言えます。

簡単なパスワードだったら、変更した方がいいけど…

しかし、パスワードを変更することに全く効果が無いわけではありません(割と良心的に考えて。後述)。

パスワードを変更する必要があるとすれば、そのパスワードがとても簡単で、そのうち突破されてしまいそうな場合です

例えば、あなたの知り合いが乗っ取り犯で、名前と誕生日を組み合わせたパスワードを使っていたとしたら、パスワードの変更は効果があるでしょう

ですが、当然、闇雲に変更しても意味がなく、現在より突破されにくいパスワードにする必要があります。そして、失敗のたびに変更を促されても困ります

パスワードを変更する理由について説明がない

この「パスワード変更の意味」について、LINEの通知及び、そのリンク先では、一切説明がされていません

つまり、何度も何度もパスワードを変更するにしても、パスワードが簡単なまま(名前と誕生日の順番を逆にするとか)では無意味です。

逆効果になる可能性も

いい機会だからと、他のWEBサービスに使っているパスワードと統一してみたりなどしようものなら、単なる逆効果です

失敗通知は必要か、とりあえず説明は必要だ

失敗通知とパスワード変更アナウンスが必要か、といえば、先ほどあげた、誰かが特定個人にターゲットを絞ってパスワードを予想している場合なんかを考えれば、適切なパスワード変更の目的説明が書かれている限りは、多少は有意義だと思います

※逆に、やたらめったら、何度も何度もいろいろなパスワードを試すような場合(ブルートフォースなど)を想定すると、そもそもLINE運営側がログインに制限をかけるべきで、ユーザーに大量に通知されても困る

しかし、現状このあたりについての説明がなく、「パスワードを何度変更しても、ログイン失敗通知が来る!」というユーザーが発生してしまっているのです。そして、しっかりパスワードの使い回しもせず、つよいパスワードを設定しているユーザーに対しては、単に怖がらせているだけ、のような状況です(説明がないので)

それにしても、そもそも強いパスワードにしてほしいだけなら、わざわざ失敗通知を利用する必要もありません

普段から、そのようなパスワード変更のアナウンスを強化すればいいだけです。ログイン失敗が検出されたユーザーだけでなく、全ユーザーに対して(実際PINコードのアナウンスなんかは全員に表示された)。

どうして失敗通知を何度も送るようにしたのかと考えてみる

と、考えを進めると、ちょっとした仮説が生まれます。

それは、何度も何度もログイン失敗通知を送りでもしないと、みんなパスワードを変更してくれない!ということを意識して、失敗通知を繰り返し送るようにした可能性です。

これなら、ユーザーの行動を想像するに、納得できなくもないのですが、パスワード変更についての詳細な説明がされていない時点で、論外でした

やはり、説明がない、というところの手抜き感を塞げません

ちなみに、通知メッセージを止める方法はない

最後に、「もうログイン失敗通知はわかったよ!」という人向けに、この通知の止め方、について紹介したいと思います。

結論から言って、諦めない乗っ取り犯をLINE運営側が遮断しようと努力するかもしれませんが、それはともかく、「ログインに失敗した」という通知メッセージが「LINE」というアカウントから届くことを、拒否する(停止する・ブロックする・通知をOFFにする)方法は用意されていません

なので、誰かがあなたのメールアドレスを入力して、適当にパスワードを打ってログインボタンをおすたびに、あなたに迷惑なメッセージが届くことになっています

*ログイン動作を通知する大事なアカウントのため、ブロックをすることはできません。 引用元

これはきっと、不満の元だと思います。

今までのLINE利用の姿から想像するに、これを利用したいやがらせもありそうです(回数制限が、いやがらせとして利用できるレベルなのかはわからないが)。

何度もログイン失敗通知が来る人には、結局メールアドレス変更をおすすめする運営

ここまで、通知メッセージを見たユーザーがどう行動するか、どう考えるか、という話でしたが、実際に「何度パスワードを変更しても、ログインできませんでしたというメッセージが届く」というユーザーからの個別の問い合わせには、次のように答えています

最終的に、「可能であれば、お使いのメールアドレスを変更してください」と言っています。

正直、「パスワードを繰り返し変更」したようなまじめなユーザーにとって、この文章は「メインで使っているdocomoのメールアドレスを変更するなんてヤダなぁ、でもLINE公式がそうしろって言ってるしなぁ」みたいな意味でしかなく、LINE用にメールアドレスを用意しよう、なんて発想にはならないので、メールアドレスを変更させるというだいぶ強い要求をしています。

これがいいのか悪いのかは微妙なところですが、現状LINEはそうしてまで、乗っ取り被害を防止したい、ということなのでしょうが、いい加減仕組みやら手続きやらが増えてきて、詳しいはずの自分も、もうややこしすぎてよくわからなくなってしまいそうです。

所感

基本的にこの記事は、「パスワードを何度変更してもログイン失敗メッセージが来るよ!」という人向けです。

ただ、やはり気になるのは、「ログイン失敗通知の必要性と、ログイン失敗時にも、とりあえずパスワード変更を促すことの適切性」でした。

現状の公式は「ログイン失敗も通知する」「ログイン失敗時にはパスワードの変更を促す(詳しい説明はしない)」を選択しています。

一応書いておきますが、もし、何度も来るメッセージが「ログイン成功メッセージ」だったとしたら、それはすでにアカウントを勝手に使われていることを意味しているので、すぐパスワード変更や強制ログアウトの対策してください

コメント(2)

  1. ゆきな
    2014年11月20日(木) 19:50

    利用規約に同意できないのた

  2. ゆうすけ
    2014年12月24日(水) 18:16

    LINEで設定したアドレス、パスワードでLINEストアにログインできません。

新しいコメントを投稿