LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

LINEの「自動スタンプ(https:// auto.line.tl/)」についての注意

LINE (1015) LINE-セキュリティ (51)

ここのところ、タイムラインに自動でいいねスタンプを押してくれるツールとして、「自動スタンプ」というものが広まっているようです。しかしこの自動化ツールの利用には、大きなリスクを伴います。そのリスクを負ってでも利用したいのであれば別ですが、リスクを知らずに利用するのは危険であるため、ここでそのあたりを少し紹介したいと思います。

もし「危険?」と聞かれれば、「危険」と答えます。

「危険でも使うなら自由」、と言いたい所ですが、LINEの友達のデータを抜かれたり、トークの内容を盗まれたり、個人情報を売られたりする可能性がいくらでもあり、かといって、リスクの大きさに対して、サービス提供側を特別に信頼できると説明できそうな背景も無いため、友達を巻き込むリスクもあることを考慮すれば、「利用しないで欲しい」という結論になります。

ただ、それでも使う、にしても、せめて危険を伴う行為なんだ、ということをある程度は理解してください。

自動スタンプ(https://auto.line.tl/)

現在広まっているのは「自動スタンプ」というサービスです。

LINEを開かなくても、勝手にタイムラインへの友達の投稿にスタンプを押してくれるので、スタンプの押し忘れを防げる、などの利点が紹介されています。

naver-line-auto-line-tl-site

サービスの提供元は「任意団体日本ティーケーアイ」となっています。

仕組み

問題はこのツールの仕組みです。

まず最初に知っておいて欲しいのは、このツールの構成が、LINE運営が認めている公式な方法ではない、強引な方法である、ということです。

さて、このツールでは、最初に「ログイン」するように促されます。

その際実は、「自動スタンプ」のサービス運営者が、あなたのLINEアカウント(!!!)にパソコンから(正確にはプログラムから)ログインすることを、認めてしまっています

詳細は違いますが、早い話が、サービス運営者のパソコンでLINEが起動していて、「お前のLINEアカウント使わせてよー」と言っている所に、あなたが代わりにメールアドレスとパスワードを入力してあげているようなものです。

乗っ取りと同じ

この機能は、そもそも、誰か他人をログインさせてあげるための機能ではなく、自分が自分のパソコンでログインするための機能です。

なので、タイムラインの取得・いいね・コメントだけを使わせてあげる、などという、権限の調節などはできず、PC版のLINE上であなたが使えるすべての機能(もしくはそれ以上)のことを、「自動ログイン」のサービス運営者は、できるようになってしまいます

これは単純に、いわゆる「LINE乗っ取り」と全く同じです。

LINEにログインしたスマートフォンを、全くロックせずに渡しているのに近い状態です。

親友ですら、LINEを代わりに使っていいよ、なんてしないと思います

それでも、サービス提供者側を信じますか?という話です。

リスク

例えば、以下のようなことをされるリスクがあります。

  • 友達の情報を盗まれる・第三者に売られる
  • 勝手にトークを読まれる・トークの中身から知った情報で脅迫される
  • 勝手にトークを送信される
  • 勝手に怪しいアカウントを友達追加される

他にも色々。

もちろん、実際にこれらの行為が行われるかどうかは、実際にやるかどうかの問題ですが、ここで大事なのは、これが「やろうと思えばすぐできる状態」であることと、これが要するに「大きなリスク」である、ということです。

特に、「勝手にトークを読む」という行為については、やられる側が気が付けない(未読のトークが既読になれば「おかしい」と気が付けるが、既読済みのトークだと気が付けない)ことに加え、悪用可能な範囲が非常に広いため、とても危険です。

周りの友達にも注意喚起を

友達が自動スタンプや、その他の自動化ツールにログインした、などと言っていたら、これらのリスクを紹介してあげて下さい。

そしてその友達がLINEでも友達であれば、あなたの情報も危険にさらされることになります。その点から、より強く出ても良いと思います。

解除方法・やめる方法

もう「自動スタンプ」にログインしてしまったけど、辞めたい、という人は、LINEアプリ内の設定から、「設定>アカウント>ログイン中の端末」を開いて、すべて「ログアウト」をしてください、と言いたい所ですが、以前紹介したように、ここでログアウトしても、APIが利用可能(継続して閲覧できてしまう)という脆弱性があるため(治ったという話をまだ耳にしていません)、この方法では不十分です。

この、LINE公式の正しい対策方法に問題があるため、どうしようもなく、LINEアカウントの作り直し(参考:出戻り手順詳細)が最も確実な方法です(というより、他の方法がもうないので、するしかありません)。

セキュリティに関する勉強代が高く付いたんだ、ちょっとiPhoneが壊れちゃったんだ、くらいに自分を納得させて、アカウントを作り直してみる、というのを真面目に考えてみても良いのでは無いかと思います。

ちなみに、ここで急にサービス提供者側を信じることにして(意味ない。信じるなら「悪用しない」となぜ信じないのか)、公式の解約方法を実施しようとすると、「登録日」「userMid」「解約理由(100文字以上)」を要求する解約フォームへの入力が必要になります。さらに「正確な情報をご送信いただけない場合、解約できません」と書いてあります。登録日・userMidをちゃんと分かっている人はほとんどいないでしょうし、100文字以上という時点でちょっと・・・と思うべきところかな、と思います。

ひとこと

このあたりについては、もうちょっとちゃんとしたバージョンを、近いうちに書きます。

追記:さっそく書きました→「QRコードログイン機能を悪用したLINEアカウント乗っ取りの危険性とその成功可能性・ユーザー像について

関連URLメモ

  • https://mid.line.tl/S.php
  • line://au/q/...

コメント(6)

  1. あいうえお
    2016年6月2日(木) 08:36

    twitterやLINEでメッセージを送ったら解約してもらえると聞いたので、実際にTwitterで解約の依頼をしたら解約してもらえたようです

  2. あいうえお
    2016年6月2日(木) 08:43

    また、UserMidですが、ログインすると自分のタイムラインにmidが投稿されるので、問題は100文字以上ってところでしょうか。

  3. 日本TKI
    2016年6月3日(金) 07:41

    こんにちは。日本ティーケーアイです。

    今回はわたくしどものサービスをご紹介いただき、ありがとうございます。

    さて、この記事にありますリンクは、利用規約なしでログインできてしまいますが、そのリスクはご存知でしょうか?

    また、利用規約なしでログインされた場合、責任はあなたに向く可能性がございます。
    ぜひ記事の修正をよろしくお願いします。

    わたくしどもは、ただLINEのログイン画面を出すだけではダメだと考え、ログイン画面の前に規約を表示し、何を行うのかの表記を行っております。それ以上の行為は一切行っておりません。

    上のコメントにもありましたが、解約手続きをとっていただければ自動スタンプを解除いまします。

    今後とも日本ティーケーアイをよろしくお願いします。

  4. 新都心
    2016年6月3日(金) 09:58

    失効しないのはログイン用のトークンではなくタイムラインにアクセスするためのトークンです。
    ログアウトすれば自動スタこそ止まらないですが、トークや友達を覗き見られることはなくなります。訂正していただけたらありがたいです

  5. 新都心
    2016年6月3日(金) 10:00

    あとこのサービスの主ですが、以前に脆弱性を発見した「れき」さんです。

  6. 新都心
    2016年6月3日(金) 15:17

    さっきれきさんに確認したらそうじゃなかったみたいです。
    上のコメント削除していただけたら幸いです

新しいコメントを投稿