スポンサーリンク
「LINEに脆弱性」「個人情報が漏れる・盗まれる・盗聴されるおそれ」系のニュースが昨日あたりにどばっと出ていたのを見て、公式ブログのお知らせを読んでみたのですが、ニュースやニュースに対する反応を読んで受けた印象からすると「あれ?」と思った部分があったので、見比べた時のことをメモしておきます。ちなみに最初に書いておきますが、LINEは最新版にアップデートしておきましょう。「最新版じゃなくても大丈夫そうだからアップデートしない」というのをおすすめしたいわけではありません。
目次
スポンサーリンク
「アップデートしないと履歴や写真などが抜き出される」
いくつかのニュースを読んでみると、ニュースの読み手が「修正版が公開されているので、アップデートが必要」と感じそうな文章が目立ち、結果としてTwitterなどでは「修正版にアップデートしないと!」という反応になっています。
ニュース例
具体的なニュース本文では、今回の脆弱性とアップデートとの関係について、次のように書かれています。
産経ニュース:
最新版アプリでは欠陥を修正しており、更新を呼び掛けている。 (引用元)
Tech Crunch 日本版:
LINEは3月16日にその詳細を報告しており、問題を修正した最新版のアプリをすでに配信している(iOS版は3月4日から、Android版は3月10日から)。直近アプリのアップデートをしていないという読者は、早急にアップデートして欲しい。 (引用元)
IT Mediaニュース:
修正したアプリは、4日にAndroid版、10日にiOS版を公開済み。ユーザーに対して、最新版にアップデートして利用するよう呼び掛けている。 (引用元)
IT pro:
最新版以外のLINEアプリは脆弱性の影響を受ける可能性があるため、同社は最新版に更新して使うよう呼びかけている。 (引用元)
他にも(タイトルだけでもそう読み取れそう):
脆弱性発見元の文章
これらの記事の超大本と思われる、脆弱性発見を報告したスプラウトの文章で、決め手となる部分がこちら。
最新版にアップデートされていなければ現在も危険な状態だ (引用元)
つまり、ここでは「アップデートしないと、今回の脆弱性を使われる」と言っています。Yahoo!ニュースなどでも、この記事が使用されています。
LINE公式を読んで「あれ?」と思ったところについて
さて、これらの文章に対して、LINE公式のお知らせが掲載されたLINE公式ブログでは、ちょっと様子が違います。
重要な部分は、次の二箇所です。
まず、脆弱性に対する「対応内容」という部分がこちら。
「対応内容」
■対応内容
2月3日に報告を受けた直後に、LINE内データが取得・改ざんされる可能性のある原因部分への修正対応が完了。3月4日にiOS版、3月10日にAndroid版の順にリリースいたしました。 (引用元)
ここ「だけ」を読むと、「アップデートしないとやばい」と読む人が多いと思います。そうじゃなかったとしたら、「3月4日にiOS版、3月10日にAndroid版の順にリリースいたしました」の部分が意味不明になってしまうので。
「FAQ(よくある質問)」
「あれ?」となったのは、「FAQ(よくある質問)」の次の箇所です。
Q. 今回報告された脆弱性に対して、何か対応する必要はありますか?
A. 今回ご報告を受けた部分については既にサーバ側で修正が完了しており、特にユーザーの皆様において特別な対応を行う必要はありません。ただし、今後も引き続きお客様のスマートフォンを安全な状態でご利用いただくためにも、常にアプリを最新バージョンに更新する、知らない無線LAN(Wi-Fi)には接続しない等、上記注意事項にご留意ください。 (引用元)
つまり、今回の脆弱性については、「アップデートしないとヤバイ!」という話ではなく、「対応済みだけど、常日頃から最新版を使ってね」となります。
わざわざFAQ、と書いたのですから、「アップデートしないとヤバイ!」と勘違いされないようにしたはずなのですが、どうやら勘違いされたまま、のようです。
しかし、先ほどの部分も合わせて読むと、「じゃぁ3/4のiOS版、3/10のAndroid版リリースって話は何だったんだよ?」となります。
※また、実は今回の話では、脆弱性がもう1つ出てくるのですが、LINE公式ブログの、今挙げた2箇所はどちらも同じほうの脆弱性についてです。また、もう一方についても、「2月3日に報告を受けた直後に修正が完了しております」と書かれています(これがアップデートが必要なものなのか、サーバ側で対応完了っていう話なのか、ここだけでは不明。そして、スプラウトの記事に、この修正らしき日時は出現せず)。
仮説:アプリをアップデートで修正後、サーバ側でも対策→アップデート無しでも対策済み状態に?
この2つの文章が矛盾しない仮説を考えてみると、脆弱性に対する「対応」としては、とりあえず「アプリのアップデート(修正)」をした。しかし実はその後、「サーバー側での修正」もしたので、今現在では、アップデートをせずとも、今回の脆弱性が悪用されてしまう、ということはない、と。そして、「対応」のところに、その話を書き損ねた結果、現状とは一致しない誤解*が生まれ、FAQを書く羽目になった、けれどもやはり「対応」には、サーバー側での対応の話を何も書き足していないので、そのままになっている、的なことが考えられます(*誤解は誤解だけれど、そこまで悪い誤解ではない)。
というか、スプラウトの記事のほうが、現状ニュース元として立場が強い状態なので、「スプラウトが把握していない対応策(または、記事を書く時点ではまだ行われていなかったサーバ側での対策←タイミングの問題)=LINEブログのFAQに書いた話」が、ニュースに反映されていないのかな、と。
タイミングの問題かもしれないので、あくまで「今後」記事を書くとすれば、ですが、例えば「現在はすでにLINEのサーバ側での対策が済んでおり、アプリ側の対策アップデートが必須ではないが、同社は今後も最新版へのアップデートを推奨している」と書いてあれば、LINE公式ブログを読んでも「あれ?」とはならずに済むかと思います。
とはいうものの、アップデートはしておきましょう
とはいうものの、この場合、もし仮説が正しいにせよ、サーバー側での対策はあくまでアップデートの必要性に気がつけない人のための対策であって、基本的に最新版を使うことがセキュリティ的には好ましく、そもそもFAQの内容が間違っている可能性も考えれば、LINEアプリを最新版にアップデートしておくことをおすすめします。
結局結果、「アップデートがおすすめ」となるのですが、よく読んでみるといろいろあるよ、ニュアンスの違いや違和感の原因調査は大事だよ、ということで。
おまけ:安全性が確認されているアプリやサービスって?
ところで、LINEの脆弱性を発見したスプラウトの例の記事の最後の段落には、こう書かれています。
LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていないアプリやサービスではやり取りしない、といった基本的な自衛が必要だ。 (引用元)
うーん、「安全性が確認されたアプリやサービス」って何のことなのか、よくわかりません。具体例が書いてあると良かったのですが。また、ここで想定している「安全性の確認方法」も。それとも、「そんなアプリやサービスは無い」的なパターンなのだろうか。。。
スポンサーリンク
2015年3月18日(水) 12:05
サーバー側での対策というのは、
Q. 上記以外に報告された脆弱性はありますか?
A. 上記でご報告したもの以外では、悪意のある第三者が、友だち表示名に不正なプログラムコードを埋め込んだ状態で友だち申請をし、そのコードが実行されると、LINE内の情報が閲覧・改ざんされる可能性がある、というものがありました。この脆弱性については、2月3日に報告を受けた直後に修正が完了しております。
の部分だと思います
2015年4月6日(月) 21:47
普通に、まずサーバー側の対策を先に行い、その後にアプリの修正リリースで良さそう。
スプラウトの記事中での修正の日付に関した箇所は
http://gyo.tc/s4qf
>この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバー
>インシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性
>情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから
>2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー
>側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したと
>している。
じゃあまずサーバーで一体何をやったのか?という話ですよね。
まずLINE広報が言いたいことを推測すると、怪しい無線LAN経由での攻撃対策をしましたよ、という事では。
文脈から推測できるのは、ブラウザがURLを開く→特定のURLを経由してLINEアプリを起動→LINEアプリがサーバーへ何らかのリクエスト→アプリからのリクエストに対してサーバーがノーチェックで行っていた行動を利用していた物があって、それをオフにすれば防げると。あるいは暗号化した通信方法を準備していたにも関わらず使っていたので適切にオンにした、等々。
この最後らへんの所だけをストップした。
無線LAN経由で接続するユーザーは全体数からみて少ないだろうし、格安SIM(MVNO)の普及から相対的に減っていっているはずだから、リスクとしては少ないものに見えるから、メインの扱いにした。
もう一つ
>A. 上記でご報告したもの以外では、悪意のある第三者が、友だち表示名に不正な
>プログラムコードを埋め込んだ状態で友だち申請をし、そのコードが実行されると、
>LINE内の情報が閲覧・改ざんされる可能性がある、というものがありました。この
>脆弱性については、2月3日に報告を受けた直後に修正が完了しております。
アプリケーションの脆弱性をサーバーで対策できてしまうってのは、つまりサーバーの処理におかしなものがあったので、それはその他扱いにして、詳細を語りたくないということでは。
そして、今後LINEとしてはアプリのJavascriptをオフする根本対策をとりたいので、何より修正版を使って欲しいと、こう思われます。