LINEの仕組み from did2memo.net

LINEの仕組みや使い方などについて詳しく解説します

LINEで「メール認証」が必要に?メール認証の回避実験と問題について

LINE (1625)

Android版LINEを 3.7.2 から 3.8.0 にアップデートしたところ、「メール認証」という画面になりました。今回は「どうしてこんな機能が付いたのか」、「間違えてメールアドレスを登録していたらどうなってしまうのか」などについて、実験を含めて解説します。

※iPhone版LINE 3.8.0でも「メール認証」が搭載された模様です(2013/07/30 追記)。また、現在メール認証のメールがなかなか来ない状態も発生しており、しばらくメールを待つ必要があるようです。

LINE 3.8.0

LINE 3.8.0が公開され、ブラウンの着せ替えテーマの登場が注目されています。公式ブログではその他の変更点も紹介されていますが、今回注目したい「メール認証」については全く言及されていません

ただでさえわかりにくいメールアドレス登録をとことん周知したくないかのようですが、今回は「批判を受けての修正」だと思われるので、あまり知られずこっそりとアップデートしたかったのかもしれません。

メール認証

誤解が無いように言っておくと、これは「メールでアカウントを認証する」ではなく「メールアドレス【を】認証する」ものです

つまり、「メールアドレス登録を必須化」するアップデートではなく、「メールアドレスの持ち主確認を必須化」したようです(ほんとうにLINE公式の文章は誤解を招きやすい書き方をする)。

ですから、現在メールアドレスを登録していない人には関係が無く、今後メールアドレスを登録しようとした時や、すでにメールアドレスを登録済みだったひとに関係してくるアップデートです。

ただし、メールアドレス登録は機種変時や故障時にアカウントを失わないための重要設定なので、本来LINEユーザ全員が関連してくるアップデートです。

実際の認証手続き

実際にメールアドレス登録済みだった人がLINEを3.8.0にアップデートすると、次のメッセージが表示されました。

メールアドレス登録

(登録していたメールアドレスが表示される)

メール認証をしてください。
メール認証をすると、誤って他の人のメールアドレスを登録したり、他の人が自分のメールアドレスを使用してLINEに登録することを防ぐことができます。

(3.8.0以降では、メールの認証が必要です。)

※「他の人が自分のメールアドレスを使用してLINEに登録する」とありますが、実際メールアドレスを使ってLINEに登録するようなことはできません(電話番号またはFacebookアカウントを使う)。これはまた間違ったことを書いているのだと思われます。正しくは「他の人が自分のメールアドレスをLINEに登録する」です。「使用して」は削除すべきです。あくまで、すでにあるアカウントに対してメールアドレスを登録する、というものなので。

さて、この「他の人が自分のメールアドレスをLINEに登録する」ことができる、というのが以前問題になったのですが、これについては後述するとして、手順を先に進めてみます。

認証

メッセージの最後にある「メール認証」ボタンをタップすると、画面が次のメッセージに変わります。

メールアドレス登録

(登録していたメールアドレスが表示される)

上記のメールアドレスに認証番号を送信しました。下の入力ウィンドウに、認証番号を入力してください。

[(入力欄)]
[登録する]ボタン

認証番号が届かない場合
1.メールアドレスをもう一度ご確認下さい。
2.メールボックスの迷惑メールフォルダを一度ご確認下さい。それでも認証番号が届かない場合は、以下の「認証番号の再送信」を選択して、認証番号を再度受けるか、「メール送信」を選択して、メールを直接送信してください。

[認証番号再送信]ボタン
[メール送信]ボタン

メールアドレス宛に認証番号が届いているのでそれを入力して「登録する」をタップすればメールアドレス登録の手続きは終了します。

メールアドレスが間違っていた人・もうメールアドレスが使えない人の気持ちで操作してみる

ここではあえて、ここでもしすでに使えないメールアドレスを登録してしまっていたらどうすればいいんだろうと考えてみます。すると、「再送信」は無意味なので、該当しそうなのは「メール送信」ボタンになりそうですが、説明文が何のことだか分かりません。

試しにタップしてみると、「入力したメールのアドレスが送信できるメールアプリを選択して下さい。(メールの内容がない場合は、「LINE」と書いて送ってください)」と表示されます。やたら回りくどい言い方でしたが、「受信」ができないなら、そちらから「送信」しろ、ということのようです

送信元メールアドレスを確認して持ち主確認をする気なのか?という不安を抱きつつも今回は気にせず「確認」をタップしてその表示を閉じると、Androidにインストールされているメール送信ができるアプリの一覧が表示されます。

しかし、「メールがすでに使えない」という前提で考えると、どれを選んでも無意味なので、端末の「戻る」ボタンでその選択肢を閉じてみます。

すると、メッセージの後ろに表示されていた次の画面が表示されます。

メールアドレス登録

(登録していたメールアドレスが表示される)

現在認証中です。メールの作成をキャンセルした場合、端末の「戻る」ボタンを押して、もう一度メール認証をしてください。

とのことなので、もう一度端末の「戻る」ボタンを押して、さらに前の画面に戻ります。

すると、メールアドレス登録の画面が回避されて、普段のアプリの画面になりました

認証を回避しても利用可能

そして、試しにPCからその未認証のメールアドレスでログインを試みたところ、何の問題もなくログインできました

このように普通に使えるのならば、何のためのメールアドレス認証だったのかが分かりません。登録しても、登録しなくても変わらないのではないかと思ってしまいます。もちろん、未登録だった人は、このように回避してメールアドレスを新規登録することはできないのではないかと思われますが、少なくともすでにメールアドレスを登録済みの場合、特に変化が見当たりません。

この状態のまま「その他>設定>アカウント>メールアドレス変更」に進んでみると、今までのメールアドレス変更やパスワード変更のボタンの上に次の文章が追加されていました。

メール認証をしてください。
メール認証をすると、誤って他の人のメールアドレスを登録したり、他の人が自分のメールアドレスを使用してLINEに登録することを防ぐことができます。
(3.8.0以降では、メールの認証が必要です。)

しかしながら、LINE 3.8.0ですが、全くもってメールの認証が「必要」というのがわかりません。現にPCログインにメールアドレスは使えています。何がどう改善されているのか、わかりません。

アップデート以前からいわれていた問題点について

以上が今回の仕様変更で何が起こったのか、について試してみたことのメモですが、そもそも先ほどから何度か言及している「問題があったから修正された(実験の結果回避できるっぽいので修正されていない気がする)」の「問題」を紹介します。

誤解注意:勝手に他人のメールアドレスを登録しても、乗っ取りには使えない

話題になったのは、このブログ記事が発端だと思います→「あろえの備忘録: LINEで勝手に他人のメールアドレスを登録できる件 (追記あり)#LINE

他人に自分のメールアドレスを使って登録されたら、メールが届いて気が付けるものの、拒否する時間が12時間しかなく、結果として他人に自分のメールアドレスで登録されてしまう、という話で、「それは大変だ」と話題になりました。この大騒ぎをうけての修正だと思われます。

このブログが言うように、認証を付ける、というのはよい解決策で、認証が無いのはやはりよくなかったと思います。ただし、これについて誤解が多いのですが、LINEにおけるメールアドレス登録で自分のメールアドレスで登録されてしまったからといって、相手には乗っ取りやなりすまし目的の悪用をする方法はありません(=私には考えつきません)。

あなたのメールアドレスを、悪い人がLINEアカウントに登録したとしても、あなたのLINEアカウントが乗っ取られたり、(メールアドレスの持ち主としての)あなたになりすましたアカウントを作れるようになる、なんてものではありませんLINEのメールアドレス登録がそういう目的に使えるような仕組みではないからです。

一応、自分のメールアドレスが意図しないところで登録済みになってしまい、登録できなくなってしまう(※端末のメールアドレスである必要は無いので、それならそれでgmailでも登録すれば良く、致命的では無いことに注意)という迷惑を被る問題があったり、他人に登録されるのは気持ち悪かったりで、対策する必要はやはりあったと思うのですが、やたら話題になったのは、LINEのメールアドレス利用の仕組みを知らない人が「乗っ取り」をイメージしてしまった結果だったように感じます。

実は乗っ取りの可能性が考えられるのはその逆で、「あなたが間違えて悪い人のメールアドレスをあなたのLINEに登録してしまった(なんていう奇跡的な、もしくは手の込んだ)状況」です。このメールアドレスを使って悪い人がパスワードの再発行をすると、「あなたのLINEアカウントの登録メールアドレスとパスワードのペアがバレてしまう」というわけです(そうなった場合の危険性についてはこちら)。そうそう狙える方法ではありません。LINEアカウントを乗っ取る前にメールアカウントを奪うにしても、それはそもそもメール認証を今回以上にしっかり導入したところで防げるものではありませんですし。

(今回のアップデートについて「メール認証はいわゆるアカウントの乗っ取りを予防するシステムで」と紹介している有名サイト(LINEが大幅アップデート、乗っ取り防止のメール認証、通知スタイルの変更、ブラウン着せかえなど【変更点まとめ】 | アプリオ)もあるのですが、この記事の「乗っ取り」はどんな手順を想定していたんだろう…とちょっと気になったり。)

アップデートの効果のほどは?

さて、結局のところ、この問題を解決するためには、「メールアドレスの認証(持ち主確認)の必須化」と「勝手に登録されていることに気が付いた時に、そのメールアドレスの登録を解除して貰う方法」を用意すれば良さそうです。後者については、LINEに問い合わせれば、以前であれ現在であれ、解決して貰えるのではないかと思われます。というわけで、今回「メールアドレス認証の必須化」が追加されたようなのですが、結局のところ「新規登録」は防げそうなものの、「回避して引き続き利用できる」点や、「バージョンアップしなければ今まで通り」である点は残ったままで、いまひとつに終わってしまったように感じます。

それにしても何のための「メール認証必須化」アップデートだったのか、いまひとつすっきりしません。中途半端すぎます。せめて、認証できなければメールアドレス認証を解除する・再登録を促す、といったプロセスを用意すべきだったように感じます。。。

コメント(3)

  1. った、助けて!!
    2014年5月4日(日) 21:13

    助けてください。お願いします。>_<
    この間、LINEのメアドを登録しました。
    しかし、なかなかLINEの方から 来ないんです!!
    私が入力したメアドが間違っていて、でも間違って入力したメアドは誰かが使っている…さらにその人がランキングユーザーで、しかも悪意がある…。その悪意がある人が私のメアドを勝手に登録したら私のLINEのアカウントは乗っ取られないのでしょか?

  2. った助けて!!
    2014年5月4日(日) 21:16

    ↑ランキングユーザーじゃなくて、LINEユーザーでした

  3. った、助けて!!
    2014年5月4日(日) 22:04

    あなたのブログを何度も読み直して、やっぱり乗っ取り可能かもしれませんね…。もう、怖いですよ。最近、食事も喉に通りません。本当に。

新しいコメントを投稿