LINEに脆弱性（セキュリティ的問題）があってアップデートが必要というニュースとLINE公式ブログの読み比べメモ

いくつかのニュースを読んでみると、ニュースの読み手が「修正版が公開されているので、アップデートが必要」と感じそうな文章が目立ち、結果としてTwitterなどでは「修正版にアップデートしないと！」という反応になっています。

具体的なニュース本文では、今回の脆弱性とアップデートとの関係について、次のように書かれています。

産経ニュース：

最新版アプリでは欠陥を修正しており、更新を呼び掛けている。 （引用元）

Tech Crunch 日本版：

LINEは3月16日にその詳細を報告しており、問題を修正した最新版のアプリをすでに配信している（iOS版は3月4日から、Android版は3月10日から）。直近アプリのアップデートをしていないという読者は、早急にアップデートして欲しい。 （引用元）

IT Mediaニュース：

修正したアプリは、4日にAndroid版、10日にiOS版を公開済み。ユーザーに対して、最新版にアップデートして利用するよう呼び掛けている。 （引用元）

IT pro：

最新版以外のLINEアプリは脆弱性の影響を受ける可能性があるため、同社は最新版に更新して使うよう呼びかけている。 （引用元）

他にも（タイトルだけでもそう読み取れそう）：

• LINE、外部からトークや写真などを抜き出される脆弱性　最新版にアップデートを | アプリオ
• LINEのデータが丸見えになる”深刻な脆弱性”が存在！まだの人は今すぐアップデートしよう | iPhoneひとすじ！ かみあぷ速報
• 「LINE」に脆弱性、外部からトーク内容や友だち一覧を取得される恐れ、ユーザーは最新版へのアップデートを -INTERNET Watch

これらの記事の超大本と思われる、脆弱性発見を報告したスプラウトの文章で、決め手となる部分がこちら。

最新版にアップデートされていなければ現在も危険な状態だ （引用元）

つまり、ここでは「アップデートしないと、今回の脆弱性を使われる」と言っています。Yahoo!ニュースなどでも、この記事が使用されています。

さて、これらの文章に対して、LINE公式のお知らせが掲載されたLINE公式ブログでは、ちょっと様子が違います。

重要な部分は、次の二箇所です。

まず、脆弱性に対する「対応内容」という部分がこちら。

「対応内容」

■対応内容
2月3日に報告を受けた直後に、LINE内データが取得・改ざんされる可能性のある原因部分への修正対応が完了。3月4日にiOS版、3月10日にAndroid版の順にリリースいたしました。 （引用元）

ここ「だけ」を読むと、「アップデートしないとやばい」と読む人が多いと思います。そうじゃなかったとしたら、「3月4日にiOS版、3月10日にAndroid版の順にリリースいたしました」の部分が意味不明になってしまうので。

「FAQ（よくある質問）」

「あれ？」となったのは、「FAQ（よくある質問）」の次の箇所です。

Q. 今回報告された脆弱性に対して、何か対応する必要はありますか？
A. 今回ご報告を受けた部分については既にサーバ側で修正が完了しており、特にユーザーの皆様において特別な対応を行う必要はありません。ただし、今後も引き続きお客様のスマートフォンを安全な状態でご利用いただくためにも、常にアプリを最新バージョンに更新する、知らない無線LAN（Wi-Fi）には接続しない等、上記注意事項にご留意ください。 （引用元）

つまり、今回の脆弱性については、「アップデートしないとヤバイ！」という話ではなく、「対応済みだけど、常日頃から最新版を使ってね」となります。

わざわざFAQ、と書いたのですから、「アップデートしないとヤバイ！」と勘違いされないようにしたはずなのですが、どうやら勘違いされたまま、のようです。

しかし、先ほどの部分も合わせて読むと、「じゃぁ3/4のiOS版、3/10のAndroid版リリースって話は何だったんだよ？」となります。

※また、実は今回の話では、脆弱性がもう１つ出てくるのですが、LINE公式ブログの、今挙げた２箇所はどちらも同じほうの脆弱性についてです。また、もう一方についても、「2月3日に報告を受けた直後に修正が完了しております」と書かれています（これがアップデートが必要なものなのか、サーバ側で対応完了っていう話なのか、ここだけでは不明。そして、スプラウトの記事に、この修正らしき日時は出現せず）。

この２つの文章が矛盾しない仮説を考えてみると、脆弱性に対する「対応」としては、とりあえず「アプリのアップデート（修正）」をした。しかし実はその後、「サーバー側での修正」もしたので、今現在では、アップデートをせずとも、今回の脆弱性が悪用されてしまう、ということはない、と。そして、「対応」のところに、その話を書き損ねた結果、現状とは一致しない誤解*が生まれ、FAQを書く羽目になった、けれどもやはり「対応」には、サーバー側での対応の話を何も書き足していないので、そのままになっている、的なことが考えられます（*誤解は誤解だけれど、そこまで悪い誤解ではない）。

というか、スプラウトの記事のほうが、現状ニュース元として立場が強い状態なので、「スプラウトが把握していない対応策（または、記事を書く時点ではまだ行われていなかったサーバ側での対策←タイミングの問題）＝LINEブログのFAQに書いた話」が、ニュースに反映されていないのかな、と。

タイミングの問題かもしれないので、あくまで「今後」記事を書くとすれば、ですが、例えば「現在はすでにLINEのサーバ側での対策が済んでおり、アプリ側の対策アップデートが必須ではないが、同社は今後も最新版へのアップデートを推奨している」と書いてあれば、LINE公式ブログを読んでも「あれ？」とはならずに済むかと思います。

とはいうものの、この場合、もし仮説が正しいにせよ、サーバー側での対策はあくまでアップデートの必要性に気がつけない人のための対策であって、基本的に最新版を使うことがセキュリティ的には好ましく、そもそもFAQの内容が間違っている可能性も考えれば、LINEアプリを最新版にアップデートしておくことをおすすめします。

結局結果、「アップデートがおすすめ」となるのですが、よく読んでみるといろいろあるよ、ニュアンスの違いや違和感の原因調査は大事だよ、ということで。

ところで、LINEの脆弱性を発見したスプラウトの例の記事の最後の段落には、こう書かれています。

LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が分からない公衆無線LANに接続しない、SNS（ソーシャル・ネットワーキングサービス）などで見知らぬ相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていないアプリやサービスではやり取りしない、といった基本的な自衛が必要だ。 （引用元）

うーん、「安全性が確認されたアプリやサービス」って何のことなのか、よくわかりません。具体例が書いてあると良かったのですが。また、ここで想定している「安全性の確認方法」も。それとも、「そんなアプリやサービスは無い」的なパターンなのだろうか。。。