LINE「ログイン許可をオフ」は間違った乗っ取り対策なので注意

「他端末ログイン許可をオフにする」という、乗っ取りを防ぐことができない対策は、NHKのニュース番組でも紹介されていました。これが、最も大きな影響を与えたと思います。

LINEの乗っ取り対策をNHKでやっていた。 他端末ログイン許可のチェックを外すと、自分のスマホでしかログイン出来ないようになるとの事。 pic.twitter.com/fkvORP0Qax

— RAN (@527ranR) 2014, 6月 17

今NHKのニュースでLINEのなりすまし被害の事をやってましたが、「アカウント」の「他端末ログイン許可をオフ」にしておくと予防出来るそうですよ！ pic.twitter.com/DhrQB061Bb

— konkon (@dokusho_zuki) 2014, 6月 17

@wasinton0083 とりま、「他端末からのログイン許可」をOFF設定にしとけってNHKが言ってた 設定→アカウント管理 から飛べる http://t.co/rSS6X5VX3T

— NHKこそ唯一神 (@wasinton0083) 2014, 6月 18

私も生でニュースを見ていたのですが、NHKのニュースでは、「パスワードを変更する」という対策を紹介した後に、「他端末ログイン許可をオフ」にする設定を紹介をしていました。

※その時のニュース映像のキャプチャ画像がありました：http://p.twipple.jp/DqYZB

このニュースを発端にしてか、だいぶこの対策が広まっています。

パスワード変更は、とても効果的な設定ですが、「他端末ログイン許可のオフ」は別の問題への対策であって、今回の乗っ取り対策には全くと言っていいほど効果がない、的外れな対策です。

パスワード変更のみ紹介すれば十分であり、他端末ログイン許可のオフは、パスワード変更と組み合わせなければ乗っ取られるだけですし、パスワード変更と組み合わせるにしても、今回の乗っ取り詐欺問題についてはパスワード変更で十分すぎて、乗っ取りを防ぐという目的に関して追加の効果もありません。

どちらにせよ、上記のツイートのような、「他端末ログイン許可をオフ」が乗っ取り予防になるという誤解の原因になってしまっています。

もしかして、と気がついている人もいます。

LINE、「設定→アカウント→他端末ログイン許可」をOFFしても乗っ取られるぽい？

— やさしこ (@yasasico) 2014, 7月 11

「他端末ログイン許可のオフに効果がある」という誤解は、その設定名だけを見て想像をふくらませた結果だと思います。

ここで言う「他端末」は、設定項目のすぐ下に書いてある説明の通り、「PC」限定で、スマートフォンは含んでいません。ここで、「スマートフォンからのログインも拒否できる」という誤解が発生しています。

スマートフォンからは、「他端末ログイン許可をオフ」にしたとしても、自由にログインできてしまいます（実際にiPhoneに設定し、Androidからのログインを実験しました）。

LINE公式情報

また、LINE公式ブログにも、これに関する記述があるので引用しておきます。

「他端末ログイン」設定をOFFにした場合、PC版LINEへのログインは不可能になりますが、他のスマートフォンからのLINEユーザーログインは可能です。不正ログインの被害を未然に防ぐためには、他社サービスとは違った独自のパスワードへの変更を必ず実施していただきますようお願いいたします。 （引用元）

というわけで、「他端末ログイン許可のオフ」の効果の正しい理解は、次のようにまとめられます。

「他端末ログイン許可オフ」の効果

なので、この対策だけでは、今回問題になっている「パスワードを把握してしまっている詐欺業者」はスマートフォンから楽々とログインできてしまいます。

さて、これについて、「業者はきっと操作しやすいからパソコンからログインしている、だから対策になるんだ」という、また別の勘違いもしやすいのですが、一度スマートフォンからログインしてしまえば、他端末ログイン許可を「オン」にすることも簡単なので、そういう意味でも、「他端末ログイン許可が対策になる」という認識は間違いです。

その話は後回しにするにしても、パソコンからのログインと、スマートフォンからのログインでは、乗っ取られた側の挙動が違うことに注目すると、本当に業者がスマートフォンからログインしていることが分かります。

詐欺業者に「スマートフォン版LINE」からログインされると、ログイン中だったユーザーは、強制ログアウトになり、まさに乗っ取り状態になります。

しかし、詐欺業者が「PC版LINE」からログインしても、強制ログアウトにはならず、詐欺業者がどんなトークをだれに送ったかがスマートフォンにも表示されます。

乗っ取られた人が、手元の端末に「利用することができません」と表示されて、アカウントが使えなくなり、アカウントを削除したり取り返したりできなくなるのは、スマートフォンから詐欺業者がログインしていることを表しています。

詳細：【LINE】ID乗っ取り被害の症状と確認方法 | LINEの仕組み

でもパソコンからじゃないと大変でしょ？

実際、パソコンから操作したいのであれば、スマートフォンから乗っ取って、他端末ログイン許可をオンにしてから、パソコンから再度ログインすれば問題ありません。また、スマートフォンから乗っ取る操作も、スマートフォン本体は不要で、スマートフォンアプリをPC上で操作すれば良いわけです。

というわけで、「他端末ログイン許可オフ」という対策は、パスワードを入手した業者が簡単に回避できてしまいます。

というより、回避というほどでもなく、勘違いした結果対策になっていないだけです。

では、この設定を「オフ」にすることによる効果は何なのか、と言うと、「強制ログアウトされない＝気が付かれないことを悪用した、トークの盗み見」の防止です。

しかし、これはNHKのニュースの時点であり、その報道から現在までにLINEがこの部分にセキュリティ対策を行い、現在は気が付かれてしまう仕様に変更されており、その仕様変更が対策になっています。つまり、他端末ログイン許可オフの価値は、以前より低下しています。

ここまでで、「他端末ログイン許可オフ」が、現在流行している乗っ取り業者からの被害を防ぐためには、間違った対策であることを説明しました。

今回の乗っ取り詐欺では、どこかのサービスから流出したメールアドレスとパスワードを利用したログインが行われています。なので、流出したのと同じメールアドレスとパスワードをLINEに設定していると、LINEへのログインに成功してしまい、乗っ取られてしまうわけです。

というわけで、パスワードの使い回しをしていた人がメールアドレスとパスワードを変更することは、とても効果的な対策です（もちろん簡単なパスワードを避けるなどの基本的なこともありますが、今回の大規模乗っ取りへの直接的な対策ではありません）。

このパスワード変更という対策は冒頭に紹介したNHKのニュースでもしっかり言っていたので、ニュースの最後に「他端末ログイン許可」の設定の話題に触れなければよかったのですが。

乗っ取られたかも？と思ったら、次の方法で確認してみてください。

参考：【LINE】ID乗っ取り被害の症状と確認方法 | LINEの仕組み

乗っ取られたことがわかったら、LINEに通報して、有料スタンプなどの復旧をしてもらいましょう。

参考：【LINE】乗っ取り被害・なりすまし被害の通報・問い合わせ方法 | LINEの仕組み