LINE PC版には「QRコードログイン」という機能があります。この機能を悪用すると、「簡単に」LINEアカウントを乗っ取ることができてしまいます。「簡単に」とは言うものの、疑い深い人であれば防ぐことができるものです。しかし、どうやら実際に、自分のLINEアカウントへのログインを、知らない人に許可してしまうケースが現在増えている模様です。

騙される対象としては、LINEへの依存度が高い中高生を想像してみてください。

今後、このパターンのアカウント乗っ取りが増えていく可能性があるので、ここで注意喚起及び、仕組みの解説をしたいと思います。

1. 前提：QRコードログインの仕組み
- 1.1. PC版LINEでのログイン用機能
- 1.2. 手順
2. QRコードログインの仕組み
3. 悪用される危険性に注意
- 3.1. 実際はさらに危険
4. 「ログイン」を押さなければ安全
5. でも「ログイン」を押してしまう
6. 問題点：警告がない
7. まとめ

前提：QRコードログインの仕組み

まず最初に、悪用される「QRコードログイン」の仕組みを紹介したいと思います。

仕組みはちょっと誤解しやすいかもしれませんが、「ログイン手順」という意味では、驚くほど簡単なログイン方法です。

PC版LINEでのログイン用機能

QRコードログインは、PC版のLINEアプリから、普段スマホで使っているLINEアカウントにログインするための機能です。

手順

PC版LINEを起動すると、通常のメールアドレス・パスワードログインの画面が表示されますが、ここで「QRコードログイン」を選択します。

すると、PC版LINE上に、QRコードが表示されるので、これをスマホのQRコードリーダーで読み取ります。

読み取ると、自動的にスマホ上でLINEアプリが起動します。

「ログインしますか？」と表示されるので、「ログイン」をタップします。

すると、パソコン側で、あなたのアカウントでのログインが完了します。

とても簡単です。

QRコードログインの仕組み

ここからは、このログインの仕組みを簡単に解説したいと思います。

まず、PC版LINEで、ランダムに生成されたQRコードが表示されます。

このQRコード発行の時点で、LINE運営のサーバー側では、「あなたのPC上のLINEアプリ」と、この「QRコード」の【ペア】が登録された状態です。

ここで、QRコードをスマホで読み取り「ログイン」をタップすると、今度は「スマホのLINEアプリのアカウント」が、その「QRコード」に対して、「ログインOKって言ってるよ」という情報が、LINE運営のサーバーに送信されます。

すると、先ほどの【ペア】の情報の中から、該当するQRコードが検索されて、対になって登録されている「あなたのPC上のLINEアプリ」が特定されます。

こうして、LINE運営は、「（ログインOKって言っている）スマホのLINEアカウント」と「あなたのPC上のLINEアプリ」という組合せを特定できるので、その「あなたのPC上のLINEアプリ」で、「許可を出したスマホのLINEアカウント」がログインしたことにする、という処理をします。

これが、QRコードログインの仕組みです。

悪用される危険性に注意

例えば誰かがPC版のLINEで作成したQRコードをあなたに見せて、それを読み取らせ、「ログイン」ボタンを押させたとすれば、それだけであなたのアカウントでログインされてしまう可能性があります。

こうなると、「あなた」が、「その誰かのパソコン」に、ログインの許可を出すことになり、あなたのLINEアカウントがその誰かに使われてしまう状態になります。

実際はさらに危険

ちょっと複雑で面倒かもしれませんが実は、QRコードの中身はただのURL（https://line.me/R/au/q/...という形式）です。

なので、このURLを踏ませるだけでQRコードを読み取らせたことと同じ効果があり、すぐさまLINEアプリが起動し、「ログイン」ボタンが表示されます。

なので、実質的には、URLを踏ませてログインボタンを押させるだけ、です。

「ログイン」を押さなければ安全

たしかにこの企みは、「ログイン」を押してもらえなければ、成立しません。

なので、どうして表示されたかよく分からないログインボタンは押さないように注意してください。

でも「ログイン」を押してしまう

しかし、この種の「○○しなければ安全」は、世の中的なことを言えば、そこら中で簡単に突破されてしまっています。

ましてや、今回のような、警告の弱い画面で、しかも１ボタンタップするだけであれば、とても簡単です。

問題点：警告がない

確かに「ログイン」をタップしてしまうユーザーが悪いかも知れません。

ただその一方で、「ログイン」画面の改良はできそうです。

現状、「ログインしますか？」と「他の端末にログインする場合「ログイン」を押して下さい」のみが表示されており、危険性の説明や、紹介がありません。

例えばTwitterの連携機能では、

このように、その危険を紹介しています。

それでも多くのユーザーが騙された結果がレイバンスパムだったりしますが、それでも運営側がリスクを認識して対策をしている、ということがわかる画面であり、重要です。

ここでTwitterとは、大きな違いがあります。それは、Twitterの連携機能が、もともとそのような「サービス間連携」を目的として作られた機能であることに対して、LINEのこのQRコードログイン機能は、本人が純粋にログインする為に用意された機能で、他人に利用する権利を渡すための機能ではない、ということです。

なので、純粋には、役割の異なる画面ですが、今回紹介しているような悪用方法は当然考えられるため、何らかの対策をしても良いのではないかと考えられます。

まとめ

今回は、誰かが作成したQRコードログイン用のログイン画面でうっかりログインボタンを押してしまうと、LINEアカウントにログインされてしまう危険性について紹介しました。

突然LINEにログイン画面が表示されてしまった場合は、自分でQRコードログイン画面を表示していない限り、ログインボタンを押さないよう、注意してください。

公開日：2016年6月2日
最終更新日：2019年3月5日

コメント（0）

新しいコメントを投稿

<< NEW 『JTB個人情報流出事件「パスポート番号」は悪用できるのか調べてみたときのメモ』
｜HOME｜
『カカオトークが送信トーク本文中のURLを収集して検索結果に表示していた問題について』 OLD >>

カテゴリナビ
- セキュリティ (148)
  - 偽サイト (123)
- その他のカテゴリ...
著者紹介

「情報科学屋さんを目指す人のメモ」 http://t.co/KJ1c8Z9kR3
— did2 (@did2memo) 2014, 5月 19

ブログが趣味で、スマホアプリの利用中に発生するトラブルや不具合の対策手順や障害情報、設定の変更方法などについて、解説記事をよく書いています。

自分が困ったことをブログに書けば、次に困る人の参考になって、みんながみんな同じ苦労をせずに済む、というのが原点です。

最近の関心は、スマホやパソコンが苦手な人の行動や思考、そしてそんな人を手助けする方法です。

Amazonのアソシエイトとして、did2は適格販売により収入を得ています。

RSS | Facebook | Twitter | About

QRコードログイン機能を悪用したLINEアカウント乗っ取りの危険性とその成功可能性・ユーザー像について