スポンサーリンク
LINEのアカウント乗っ取りを利用した"Web Money"詐欺がTVにも取り上げられてからしばらくが経ち、乗っ取り被害は確認できているだけでおよそ600万円になっているというニュースが出ました。この乗っ取りには、効果的な対策があるのですが、NHKニュースをはじめ、各所で「他端末ログイン許可をオフにすれば乗っ取りが防げる」という間違った対策が紹介されてしまっており、防げずにいます(2016年現在設定名が「ログイン許可」に変更されています)。
そこで、なぜ「他端末ログイン許可をオフ」という対策が無駄なのかを解説します。ポイントは、「他端末ログイン許可オフで【パソコン】からのログインは拒否できるが、【スマートフォン】からのログインは拒否できない」です。
目次
スポンサーリンク
間違った対策の紹介がNHKのニュースで
「他端末ログイン許可をオフにする」という、乗っ取りを防ぐことができない対策は、NHKのニュース番組でも紹介されていました。これが、最も大きな影響を与えたと思います。
LINEの乗っ取り対策をNHKでやっていた。
他端末ログイン許可のチェックを外すと、自分のスマホでしかログイン出来ないようになるとの事。 pic.twitter.com/fkvORP0Qax
— RAN (@527ranR) 2014, 6月 17
今NHKのニュースでLINEのなりすまし被害の事をやってましたが、「アカウント」の「他端末ログイン許可をオフ」にしておくと予防出来るそうですよ! pic.twitter.com/DhrQB061Bb
— konkon (@dokusho_zuki) 2014, 6月 17
@wasinton0083 とりま、「他端末からのログイン許可」をOFF設定にしとけってNHKが言ってた
設定→アカウント管理 から飛べる http://t.co/rSS6X5VX3T
— NHKこそ唯一神 (@wasinton0083) 2014, 6月 18
私も生でニュースを見ていたのですが、NHKのニュースでは、「パスワードを変更する」という対策を紹介した後に、「他端末ログイン許可をオフ」にする設定を紹介をしていました。
※その時のニュース映像のキャプチャ画像がありました:http://p.twipple.jp/DqYZB
このニュースを発端にしてか、だいぶこの対策が広まっています。
パスワード変更は、とても効果的な設定ですが、「他端末ログイン許可のオフ」は別の問題への対策であって、今回の乗っ取り対策には全くと言っていいほど効果がない、的外れな対策です。
パスワード変更のみ紹介すれば十分であり、他端末ログイン許可のオフは、パスワード変更と組み合わせなければ乗っ取られるだけですし、パスワード変更と組み合わせるにしても、今回の乗っ取り詐欺問題についてはパスワード変更で十分すぎて、乗っ取りを防ぐという目的に関して追加の効果もありません。
どちらにせよ、上記のツイートのような、「他端末ログイン許可をオフ」が乗っ取り予防になるという誤解の原因になってしまっています。
一部気がついた人
もしかして、と気がついている人もいます。
LINE、「設定→アカウント→他端末ログイン許可」をOFFしても乗っ取られるぽい?
— やさしこ (@yasasico) 2014, 7月 11
「他端末ログイン許可のオフ」の正しい適用範囲
「他端末ログイン許可のオフに効果がある」という誤解は、その設定名だけを見て想像をふくらませた結果だと思います。
ここで言う「他端末」は、設定項目のすぐ下に書いてある説明の通り、「PC」限定で、スマートフォンは含んでいません。ここで、「スマートフォンからのログインも拒否できる」という誤解が発生しています。
スマートフォンからは、「他端末ログイン許可をオフ」にしたとしても、自由にログインできてしまいます(実際にiPhoneに設定し、Androidからのログインを実験しました)。
LINE公式情報
また、LINE公式ブログにも、これに関する記述があるので引用しておきます。
「他端末ログイン」設定をOFFにした場合、PC版LINEへのログインは不可能になりますが、他のスマートフォンからのLINEユーザーログインは可能です。不正ログインの被害を未然に防ぐためには、他社サービスとは違った独自のパスワードへの変更を必ず実施していただきますようお願いいたします。 (引用元)
というわけで、「他端末ログイン許可のオフ」の効果の正しい理解は、次のようにまとめられます。
「他端末ログイン許可オフ」の効果
パソコン*からのログインは拒否できるが、スマートフォン**からのログインは拒否できない(*PC版LINEアプリおよびWIN8版LINEアプリ。**iPhone版LINEやAndroid版LINEなどその他のスマートフォン版アプリ)
なので、この対策だけでは、今回問題になっている「パスワードを把握してしまっている詐欺業者」はスマートフォンから楽々とログインできてしまいます。
詐欺業者はパソコンからログインじゃないの?
さて、これについて、「業者はきっと操作しやすいからパソコンからログインしている、だから対策になるんだ」という、また別の勘違いもしやすいのですが、一度スマートフォンからログインしてしまえば、他端末ログイン許可を「オン」にすることも簡単なので、そういう意味でも、「他端末ログイン許可が対策になる」という認識は間違いです。
その話は後回しにするにしても、パソコンからのログインと、スマートフォンからのログインでは、乗っ取られた側の挙動が違うことに注目すると、本当に業者がスマートフォンからログインしていることが分かります。
詐欺業者に「スマートフォン版LINE」からログインされると、ログイン中だったユーザーは、強制ログアウトになり、まさに乗っ取り状態になります。
しかし、詐欺業者が「PC版LINE」からログインしても、強制ログアウトにはならず、詐欺業者がどんなトークをだれに送ったかがスマートフォンにも表示されます。
乗っ取られた人が、手元の端末に「利用することができません」と表示されて、アカウントが使えなくなり、アカウントを削除したり取り返したりできなくなるのは、スマートフォンから詐欺業者がログインしていることを表しています。
詳細:【LINE】ID乗っ取り被害の症状と確認方法 | LINEの仕組み
でもパソコンからじゃないと大変でしょ?
実際、パソコンから操作したいのであれば、スマートフォンから乗っ取って、他端末ログイン許可をオンにしてから、パソコンから再度ログインすれば問題ありません。また、スマートフォンから乗っ取る操作も、スマートフォン本体は不要で、スマートフォンアプリをPC上で操作すれば良いわけです。
「他端末ログイン許可オフ」は回避できる
というわけで、「他端末ログイン許可オフ」という対策は、パスワードを入手した業者が簡単に回避できてしまいます。
というより、回避というほどでもなく、勘違いした結果対策になっていないだけです。
「他端末ログイン許可オフ」のセキュリティ的効果
では、この設定を「オフ」にすることによる効果は何なのか、と言うと、「強制ログアウトされない=気が付かれないことを悪用した、トークの盗み見」の防止です。
しかし、これはNHKのニュースの時点であり、その報道から現在までにLINEがこの部分にセキュリティ対策を行い、現在は気が付かれてしまう仕様に変更されており、その仕様変更が対策になっています。つまり、他端末ログイン許可オフの価値は、以前より低下しています。
正しい対策
ここまでで、「他端末ログイン許可オフ」が、現在流行している乗っ取り業者からの被害を防ぐためには、間違った対策であることを説明しました。
今回の乗っ取り詐欺では、どこかのサービスから流出したメールアドレスとパスワードを利用したログインが行われています。なので、流出したのと同じメールアドレスとパスワードをLINEに設定していると、LINEへのログインに成功してしまい、乗っ取られてしまうわけです。
というわけで、パスワードの使い回しをしていた人がメールアドレスとパスワードを変更することは、とても効果的な対策です(もちろん簡単なパスワードを避けるなどの基本的なこともありますが、今回の大規模乗っ取りへの直接的な対策ではありません)。
このパスワード変更という対策は冒頭に紹介したNHKのニュースでもしっかり言っていたので、ニュースの最後に「他端末ログイン許可」の設定の話題に触れなければよかったのですが。
関連:乗っ取られたかも?と思ったら
乗っ取られたかも?と思ったら、次の方法で確認してみてください。
関連:乗っ取られたあとの対策
乗っ取られたことがわかったら、LINEに通報して、有料スタンプなどの復旧をしてもらいましょう。
スポンサーリンク
コメント(0)
新しいコメントを投稿
|HOME|
『【LINE】「本人確認・暗証番号を入力してください」画面が突然表示されたときの対処法』 OLD >>
スポンサーリンク