LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

LINEアカウントは乗っ取られやすい!?LINEの仕組みと注意すべきポイントまとめ

Android (738) LINE (1627) Windows Phone (5) iPhone (1733)

たったの15秒間あなたのスマートフォンが操作されただけで、LINEのパスワードが奪われるかもしれません

LINEにおける「パスワード」や「アカウント」の扱いに関して、いろいろと気になる点があったので、その詳細ついてメモ+注意喚起。

※重要な追記事項がたくさんあります。頭から最後まで全文読むことをおすすめします。

背景

LINEは、ユーザが急増中で、しかも中高生のユーザが多いことから、セキュリティに関する知識や経験に乏しいユーザが多いのではないかと思います。それを考えると、今回紹介するパスワード関連のトラブルに巻き込まれないか不安に思います。

そこで今回は、LINEにおいて「パスワードが他人に知られてしまうとどうなってしまうのか」「LINEのアカウントを守るために注意すべきことは何なのか」などの知識や注意点をまとめてみました。まとめるにあたり、LINEならではの部分に注目したので、驚くポイントも多いのではないかと思います

また、途中難しい内容もあるかもしれませんが(そここそが興味深い点ではある)、記事の最後のほうに注意すべきことを「まとめ」という章に短くまとめておいたので、「まとめ」の「対策・予防方法」だけでもチェックしてみてください

基本知識:パスワードを他人に知られたら何が起こるのか

誤解されやすいことなのですが、LINEでは、「メールアドレス」と「パスワード」を知っている人がLINEアカウントの持ち主であると扱われます参考

アカウントを作るときに登録した「電話番号」は、「メールアドレス・パスワード」ペアの前に無力です

間違った解説を見つけるので補足しておきます。「電話番号認証」という言葉を使って「認証している」と言う人がいますが、あれは「電話番号で個人を特定している」という認証のではなく、「その電話番号の現在の持ち主があなたである」ということを確認しているだけです。ですので、全く別の電話番号を使っている人でも、メールアドレス・パスワード入力でアカウントを引き継ぎ、電話番号"認証"ができるわけです。というか、電話番号"認証"でSMSさえ受け取れれば、前と違う番号だからといって蹴られることはありません。違う電話番号への引き継ぎによって確認済みです。

この「メールアドレス」と「パスワード」を設定することの大切さについては「機種変でLINEアカウントが消える!?今すぐ確認したい重要設定と正しい引き継ぎ手順」で紹介していますので、そちらをご覧ください。

もしパスワードがバレたら

さて、ここで、AさんのLINEアカウントの「メアド&パス」を、悪意のあるBさんがなぜか知っていた場合について考えてみます。もし、知っていたら、です。このとき、以下のようなことが起こるかもしれません。

CASE1: Bさんがアカウントを乗っ取る

Bさんが、自分の所有するスマートフォンでLINEに登録するときに、Aさんの「メアド&パス」を入力したとします。すると、Bさんは、AさんのアカウントでLINEを利用できるようになります。つまり、AさんのIDで、Aさんになりすましてトークを送受信できます。このとき、Bさんにとって、Aさんの電話番号は必要ありません。

これを読んで、「パスワードを知られたら乗っ取られて当然だろ?」と思うかもしれませんが、Aさんが電話番号の持ち主だからと言って、安心できない、そして、パスワードを変えられてしまったら奪われたアカウントを取り戻すこともできない、というところが重要です。全く別の端末からAさんのアカウント(ID)を使えるようになります。ここを誤解している人も多いのではないかと。

また、「メールアカウント自体は乗っ取られていないだろ?」と思うかもしれませんが、この作業中に、登録メールアドレス宛に確認URLの記載されたメールなどが届くことはありませんでした。つまり、AさんのアカウントはBさんにあっという間に乗っ取られてしまうのです。メールアドレスの持ち主でなくても、普通にログインするかのように、別の端末にアカウントを移すことができるのです。「端末」の概念が強いLINEならではですね。

以上のことは、自分が電話番号をまたいだLINEアカウントの移動を行った経験から分かったことです。

CASE2: 突然LINEのデータが消える

CASE1で乗っ取られた場合、Aさんにとっての悲劇が続きます。

LINEアカウントは複数スマートフォン上で同時に利用できないため、古い端末(Aさんの端末)は強制的にログアウトされ、端末に保存されていたデータ(トーク履歴など)も消去されます。思い出の詰まったトーク履歴を大切にしている人にとってはまさに悲劇です。


(出典:http://line.naver.jp/android/help/ja、8月1日現在)

つまり、「突然LINEのアカウントが消えた」なんてことが起こるかもしれないわけです。もちろん、何度も言うように、「メアド&パス」を知られてしまった場合、ですが。

CASE3: BさんがAさんのトークを覗き見る

「アカウントの乗っ取り」は「成りすまし」や「受信を盗み見られる」ことが懸念されますが、「過去のトーク」が引き継がれないため、「Aさんと友だちの会話」はバレずに済みます。しかし、「メアド&パス」が知られてしまった場合の危険性は「乗っ取り」だけではありません

LINEのメアド&パスには、アカウントを別の端末に移動させるために使うという側面以外に、「PC版(Windows版・Mac版)」や「ウェブブラウザ版」のログイン認証に使うという側面もあります。


(出典:ヘルプ | LINE(ライン)、8月1日現在)

実は、PC版やウェブブラウザ版はスマートフォンと同時にログインして使うことができ、同時に受信することができます。つまり、この場合は「会話を盗み見られる可能性がある」というわけです。

ただし、この場合はちょっとした対処法があるので紹介します(手元にあるAndroidアプリの場合で説明)。

ログイン中の端末をチェックする

「設定>メールアドレス登録>ログイン中の端末」で、現在ログイン中の端末(PC)を表示することができます。

つまり、ここに見覚えのない名前(PCの名前が表示されます)が表示された場合は、盗み見られている可能性があります

盗み見られているかも、と思ったら

すぐに見覚えのない名前の横にある「ログアウト」ボタンを押し、パスワードを変更してください(変更方法後述)。すると、ログイン中の端末は強制的にログアウトされ、パスワードも変わっているので再ログインされることもありません。

ただし、Aさんが寝ている間にログイン&ログアウトされた場合はログイン中の端末に表示されないので、無力です(Gmailみたいに、ログイン履歴(ログイン時刻とIPアドレス付き)が見れるようになっていればよいのですが、ログイン中の端末が見られるだけでもいいのかなぁ。Evernoteは見られないようですし)

パスワードがバレたときの悲劇っぷりが凄まじい

以上のように、メールアドレスとパスワードが知られてしまうと、かなり危険であることが分かったと思います。これを知っておくだけで、スマートフォン+LINEで初めて自分のパスワードを利用し始めたような中高生も、だいぶパスワードの扱いに気を付けるようになるんじゃないかなぁ、と思います。「会話を覗き見られて」、「成りすまされて」、「履歴を消される」可能性があるわけですから。想像しただけでクラクラする人もいるはず(Twitter上をLINE関連で検索していると、しょっちゅう「うあああああ消えたあああああ」と叫んでいるTweetがひっかかります)。

この仕組みはLINEを使う上で非常に重要なので、是非知ってもらいたいと思います。

でも、「パスワードがバレたらこうなるのは当然」じゃない?

ここまでで紹介した危険性は改善の余地がある気もするのですが、この類の危険性は、ウェブメールサービスや、他のウェブサービスでも言える気もします。「パスワードを知られたのが悪いんだから、どうなっても仕方ない」と言われれば、そんな気もします。

ここからが本題

ただし、LINEの場合はその「メールアドレス」と「パスワード」の管理方法が、特別気を付けた方が良いと思われる仕様なのです。

ここからが本題

LINEにおける「パスワードを忘れた場合」

私は以前、パスワードを忘れてしまい、PC版で「パスワードを忘れた方」というボタンをクリックしました。すると、次のメッセージが表示されました。

私はこれを見て「あれ?」と思ったのですが、みなさんはどうでしょう。私は「きっと、メールアドレスに確認メールを飛ばせるのだろう」と思っていました。しかし、そうではありませんでした。「メールアドレスの持ち主かどうか」で本人確認をするのではないのです。

最重要ポイント:LINEにおける「パスワードの変更方法」

そこで、LINEアプリ(Android版 バージョン2.5.6)を起動して、「設定>メールアドレス登録>メールアドレス登録>パスワードの変更」と進めてみると、次の画面が表示されます。

また私は「あれ?」と思いました。「パスワードを変更するために、現在のパスワードを入力する必要がない」のです。パスワードの変更はその場で完了し、登録メールアドレス宛にメールが届くこともありません。つまり、「端末を操作できること」だけでパスワード変更のための本人確認をしているのです。

ロックされていないスマートフォンから数十秒目を離しただけで危険

また、設定画面でメールアドレスを見ることができるため、これで結果として、利用中の(上書き後の)「メアド&パス」が知られてしまうことになります

つまり、ログアウトする方法がないLINEですから(アンインストールとアカウント削除以外、スマートフォンでログアウトする方法が見つからないよ><)ロックのかかっていない端末から数十秒目を離しただけで、それを操作した悪者がパスワードを知る(上書きする)ことができ、乗っ取りや会話の盗み見の準備が可能なのです

実験の結果、15秒の操作だけで「メアド&パス」が知られてしまう可能性

実際、設定するパスワードは6文字以上なら「aaaaaa」でも「111111」でもよいので、この作業は数十秒あれば可能です。実際に試してみたところ、LINEの起動からパスワードの変更完了までが15秒ほどで可能、メアドはその操作の途中で視認可能。つまり、15秒端末を操作できれば、LINEアカウントを乗っ取ることも可能というわけです。。。

他のアプリだったら?

個人の経験上であって、統計を取ったわけでは一切無いのですが、私は、「ログイン状態であってもパスワード部分は伏せ字になっているか表示されない」、「ログイン状態であってもパスワードの変更の際には現在のパスワードが必要」、「現在のパスワードを忘れた場合はメールアドレスの持ち主であることを証明することでパスワードの再設定が可能」、というパターンが多いように感じます。

この場合なら、こんな短い時間で「メアド&パス」が盗まれることはありませんし、さらに登録メールアドレスをそのスマートフォンで受け取れないようにPC専用アドレスなどにしておけば、そう短い時間でログインするために必要な情報を取得・上書きされることもないかと思います)。しかし、LINEはそうではありませんでした。もしかしたら、LINE以外にもこのように簡単にパスワードが上書きできるアプリがたくさんあるのかもしれませんが。

「端末を盗まれないので気がつかない」という危険性

端末を盗まれたらじっくりいろいろやられてしまいそうだと多くの人が予想できますが、盗まれておらず、ほんの少しの時間しか目を離していなかったはずなのに、気が付いたら会話を盗み見られていた、なんていう危険性があるわけです。この危険性を知っておくことがまず大切だと思います。「イタズラのつもり」でこのような攻撃を受ける可能性は十分に考えられます。

また、パスワード変更の際に現在のパスワードが不要で、かつ登録メールアドレスへのメールが一切発生しないため、パスワードの勝手な上書きから乗っ取りまで、非常に気が付きにくいと考えられます。PCとは無縁でPC版を知らない人(多そう)からすれば、「盗み見られているかも」などという発想すら永遠に出てこない可能性があります。

そして、先ほど述べたように、別端末からの登録の際にもメールアドレスの所有(受け取り権限)が不要であるため、悪意のあるユーザは、自分が受信可能なメールアドレスをAさんの端末に残す必要すらない、つまり、多少時間のかかるメールアドレスの入力すら不要なわけです。

この、パスワードリセット・端末間のアカウント移動時にメールアドレスの閲覧権限が不要で、それらに関するお知らせは来ない、というのを知っておくこともかなり重要に感じます。もちろん一番重要なのは「パスワードが簡単に上書きできる」ということと、「それが危なっかしい」ということを知っておくこと、ですが。

でも、自衛可能

そうは言っても、スマートフォンを他人に一切触らせないように徹底すれば問題ないので、自衛できるはずであり、この仕様が悪いかどうか判断しにくいのですが、やはりこのあたりのLINEの仕様が、この記事のタイトルである「LINEアカウントは乗っ取られやすい!?」と私が感じたポイントになります。ひと言で言ってしまえば、あまりに乗っ取りが容易なのです。

まとめ

以上のように、私がアカウントの引っ越しやらパスワード忘れやらでいろいろとLINEをいじっているうちに、「これ、油断すると危険じゃない!?」ということがわかりました。

ここまでに紹介したことに加えて、自分なりに知恵を絞って(?)考えた対策などなどをまとめておきます。是非参考にしてみてください(一覧性を高めたかったので、説明が短くなっています。詳細については、本文に触れたものも多いので、そちらを参考にしてください)

対策・予防方法

  • ☆最重要☆端末にはロックをかけ、数十秒という短い時間であっても端末を放置しない15秒程度の操作でパスワードを上書きされる恐れあり
  • 端末・電話番号が手元にあるからといって安心しない(誰かがパスワードを上書きした後かもしれない)
  • PCを持っているなら、PC版でログインする癖を付けて、強制ログアウト・ログイン不能にならないかチェックする(誰かがパスワードを上書きした場合、強制ログアウト・ログイン不能になり、パスワード漏洩を検出できる)
  • 定期的にパスワードを変更する(PCからの覗き見が行われていた場合、パスワード変更後、覗き見ができなくなります)

追記(2012/08/02)

LINE自体にもロックをかける機能があるようで、「プライバシー管理>パスコードロック」から4桁の暗証番号を設定できます。とりあえずこれを設定するのがよさそうです。私は存在自体知らなかったのですが、これを知っておくとだいぶマシになるかもしれません。デフォルトでないこと、はまぁいいにしても、この機能の存在自体を知らない人が多そうであることが問題ですが。

おかしいな、と気が付くきっかけ

  • 突然自分のLINEアプリのデータが消えた
    →乗っ取られた可能性(たしか「他の端末でログインしたため~」のようなメッセージが出るはず)。
  • 自分がした覚えのない発言がある
    →誰かがPC版でログインして発言した可能性
  • トークを読んだつもりがないのに、「ちょっとー、既読になってたよー、無視しないでよ-」などと言われた場合
    →誰かがPC版でログインして既読になった可能性
  • ログインしていたPC版が強制ログアウトされた
    →誰かがパスワードを上書きした可能性
  • PC版からログインしようとしたら、パスワードが違うと言われてしまった
    →誰かがパスワードを上書きした可能性

もしかして、パスワードがバレていると思ったら

  • 「設定>メールアドレス登録>ログイン中の端末」からログイン中の端末をチェックする。(ログイン履歴が見れるわけではないので注意)
  • 誰かにトークを送信してもらい、自分はそれを読まず、勝手に既読になっていないか(自分以外の誰かが見ていないか)チェックする。(既読にせずに読む方法もあるようなので注意)

以上がまとめです。

こうならいいのに

ついでに、こういう仕様ならもうすこしいいのかなー(つまり現在そうではない)と思ったことをメモしておきます。このあたりのセキュリティに関することは注意深く考えなくてはいけないすごく難しいことなので、見当違いかもしれませんが。

  • ログイン中の端末だけでなく、ログイン履歴が見れる
  • パスワードやメールアドレスを変更する場合は、それがログイン中の端末からであっても現在のパスワードを要求する
  • ログアウトできる(やり方が分かりません><)
  • パスワードを忘れた場合は、登録メールアドレスを入力することで、その登録メールアドレス宛に確認メール(パスワード再設定用のURLや、再設定用のコード)の送信を要求できる
  • パスワードが変更された場合、登録メールアドレスに通知する(本当はこれ専用のメールアドレスを登録したい)
  • そしてそのメールには、アカウントを取り戻すためのURLが含まれている

ちなみに

イタズラだと思っても、他人のアカウントに勝手にログインした場合、"イタズラ"では済みません。罪に問われる可能性があります、きっと(参考:不正アクセス行為の禁止等に関する法律 - Wikipedia)。

ひとこと

この記事を書こうか少し迷ったのですが、普通に使っているだけで分かる明らかなことばかり(パスワードの変更方法や引き継ぎ方法など)なので、書くことにしました。LINEの仕様に問題があるかといえば、言ってることは、「端末を他の人に操作されたらアカウントを乗っ取られるよ」という普通のことですし。

ただ、自分はやはり「パスワードがこんなに簡単に上書きできるなんて怖いなぁ」と思ってしまいます。

問題や間違っている点、仕様の変更などがありましたら、コメントにて連絡していただければと思います。

追記(2012-08-06)

本日Android版LINEが大幅にバージョンアップ(バージョン2.5.6→3.0.0)されました。ひとことが消えたり、タイムラインが追加されたり、設定画面への行き方が少し変わったりしていました。そこで確認したところ、パスワードの変更方法・変更画面には変化がありませんでした(実験済み)。引っ越し手順についても同様です(実験済み)。パスワードの変更方法については要望済み(問題報告フォームしか見つからなかったので、そこから要望した)なので、もしかしたら対応があったかなーとか期待したのですが、そんなことはなかったみたいです。

追記(2012-08-07)

LINE 3.0.2にバージョンアップ。パスワード変更画面に変化なし。

追記(2012-08-16)

LINE 3.0.3のパスワード設定画面をチェックしたところ、パスワードを変更する際に、現在のパスワードを要求する仕様に変更されました。そして、同じ設定画面に「パスワードを忘れた場合」というリンクも追加されました。このリンクから登録メールアドレスへ「確認メール」が送信できるようになりました(このブログエントリの効果か、要望の効果があったかもしれません)。Playストアの「最新情報」には「メールアドレス認証のセキュリティ強化」と書かれていました。

ここで大切なのは、「今までは現在のパスワードなしにパスワードを変更できた」ということと、「今回その仕様が変更された」という点を、ユーザ各自がどう捉えるか、だと思います。そして、このエントリでは、パスワードの変更方法について以外にも、様々なLINEアカウントに関する仕組みを紹介しました。それらを意識して使うことも大切です(それらについても仕様変更があった可能性はあるものの、未検証)。そして何より、「セキュリティに気を遣ってLINEやその他のソフトウェア・サービスを使うことを心がける」というが大切です。今回のLINEの例は、セキュリティの意識を高めるいい題材になるのではないかと思います。

なにかまた気がついた場合には、別エントリで指摘しようと思います。

追記(2012.08.23)

ブログでアピールしたことがセキュリティ改善につながったかもしれません。

追記(2012.09.11)

最新版にアップデートしていない場合(タイムラインがまだ導入されていないバージョンなど)、まだパスワードを簡単に変更できる状態にある可能性があります。また、最新版にアップデートした後であっても、すでにパスワードを上書きされていた場合、引き続きアカウントにアクセスされてしまう可能性があります。対処法について次の記事で紹介してみたので、チェックしてみてください→「LINEのパスワード上書き被害への対策手順案を考えてみた

追記(2012.09.29)

修正済みと書きましたが、それはAndroid版のみだったようでiPhone版では未修正だったようです。それが本日公開された最新版(バージョン3.1.2)において修正された模様です。アップデート内容についてはこちら

関連

そもそも「メールアドレス」と「パスワード」を登録していないよ!なんだそれ!?という人は、「機種変でLINEアカウントが消える!?今すぐ確認したい重要設定と正しい引き継ぎ手順」をご覧ください。機種変する前にメールアドレスとパスワードを登録しておかないと、アカウントを引き継ぐことができません。

追記(2013.03.09)

乗っ取られたかも?なりまされたかも?と思った場合は、こちら→「「LINEなりすまし」「個人情報漏洩疑惑」の真相とLINEの仕組み」で紹介したパターンの可能性があります。こちらも合わせてお読みください。

コメント(6)

  1. Pika
    2013年2月4日(月) 19:30

    心あたりのないライントーク履歴画面をもとに訴訟を示唆した金銭の要求を受けており、検索しているうちにたどり着きました。
    昨年10月当時の画面で、その相手とはやり取りをしていましたが、そのコメントは送っていないのです。アカウントを使える状態にされていた場合、私が送ったかのようなメッセージを載せることもできてしまうのですよね?

  2. did2
    2013年2月5日(火) 17:14

    >Pikaさん
    一般的にトーク画面程度の画像なら、画像編集することで内容を大幅に変更可能ですし、そうでなくとも、一般的に別のアカウントを同じ名前・同じアイコン画像で作成すれば、そのような画像を作成することはそこまで難しいことではない思われます。


  3. 2013年5月14日(火) 11:00

    カテ違いかもしれませんが質問させてください。
    本人の端末を触ることなく第三者がLINEの会話や通話内容を閲覧、盗聴することは可能でしょうか。
    一般には不可能だと思いますが例えば探偵や興信所が動いている場合ではどうでしょうか。

  4. did2
    2013年5月14日(火) 16:45

    >牛さん
    仮に、その本人がメールアドレスとパスワードを登録していた場合で、メールアドレスとパスワードを盗み知ることさえできれば、このエントリで紹介したように、PCから閲覧する事は可能です。
    それを確認するには、設定のアカウント管理にある「ログイン中の端末」からチェックできます(ただし、その相手がログイン中に限る)。また、パスワードを変更する事も有効だと思います。そして、そのようなPC版LINEからの閲覧を完全に拒絶するには、設定のアカウント管理画面にある「他端末ログイン許可」のチェックを外すとよいと思います。こうすることで、そもそもメールアドレスとパスワードが分かっても、PC版からこっそりログインする事はできなくなります。ただし、メールアドレスとパスワードがバレていた場合は、そもそも他の端末からログインされて乗っ取られてしまう危険性があるので、まずはパスワードの安全性を確かめてください(簡単すぎないか、他のサービスと共通のパスワードにしてしまっていないか)。

    このパスワードがバレるという根本的な問題を起こさなければ、他に閲覧する事はできないとおもいます(ここで紹介したのはあくまで「トーク」の内容を閲覧するものであり、「通話」の内容はどうやっても盗聴できないのではないかと思います)。


  5. 2013年5月15日(水) 08:19

    >did2さん
    迅速な返信ありがとうごさいます。
    その方はアドレスもパスワードも設定していなかったようで、おそらく本文にあったような目を離した隙に乗っ取られて他端末から閲覧されていたようです。
    勉強になりました。ありがうございます。

  6. ky
    2013年10月4日(金) 11:15

    教えてください。
    メールアドレスとパスワード設定していない状態だと、なりすましは可能ですか。

    知らない間に画像が20枚も送信されていました。

新しいコメントを投稿