情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

QRコードログイン機能を悪用したLINEアカウント乗っ取りの危険性とその成功可能性・ユーザー像について

LINE-セキュリティ (52) LINE-乗っ取り (25) セキュリティ (80)

LINE PC版には「QRコードログイン」という機能があります。この機能を悪用すると、「簡単に」LINEアカウントを乗っ取ることができてしまいます。「簡単に」とは言うものの、疑い深い人であれば防ぐことができるものです。しかし、どうやら実際に、自分のLINEアカウントへのログインを、知らない人に許可してしまうケースが現在増えている模様です。

騙される対象としては、LINEへの依存度が高い中高生を想像してみてください。

今後、このパターンのアカウント乗っ取りが増えていく可能性があるので、ここで注意喚起及び、仕組みの解説をしたいと思います。

naver-line-qr-code-login-security

前提:QRコードログインの仕組み

まず最初に、悪用される「QRコードログイン」の仕組みを紹介したいと思います。

仕組みはちょっと誤解しやすいかもしれませんが、「ログイン手順」という意味では、驚くほど簡単なログイン方法です。

PC版LINEでのログイン用機能

QRコードログインは、PC版のLINEアプリから、普段スマホで使っているLINEアカウントにログインするための機能です。

手順

PC版LINEを起動すると、通常のメールアドレス・パスワードログインの画面が表示されますが、ここで「QRコードログイン」を選択します。

naver-line-qr-code-login-security-select-qr-code-login

すると、PC版LINE上に、QRコードが表示されるので、これをスマホのQRコードリーダーで読み取ります

読み取ると、自動的にスマホ上でLINEアプリが起動します。

「ログインしますか?」と表示されるので、「ログイン」をタップします。

naver-line-qr-code-login-security-confirm-login

すると、パソコン側で、あなたのアカウントでのログインが完了します。

とても簡単です。

QRコードログインの仕組み

ここからは、このログインの仕組みを簡単に解説したいと思います。

まず、PC版LINEで、ランダムに生成されたQRコードが表示されます。

このQRコード発行の時点で、LINE運営のサーバー側では、「あなたのPC上のLINEアプリ」と、この「QRコード」の【ペア】が登録された状態です。

ここで、QRコードをスマホで読み取り「ログイン」をタップすると、今度は「スマホのLINEアプリのアカウント」が、その「QRコード」に対して、「ログインOKって言ってるよ」という情報が、LINE運営のサーバーに送信されます。

すると、先ほどの【ペア】の情報の中から、該当するQRコードが検索されて、対になって登録されている「あなたのPC上のLINEアプリ」が特定されます。

こうして、LINE運営は、「(ログインOKって言っている)スマホのLINEアカウント」と「あなたのPC上のLINEアプリ」という組合せを特定できるので、その「あなたのPC上のLINEアプリ」で、「許可を出したスマホのLINEアカウント」がログインしたことにする、という処理をします

これが、QRコードログインの仕組みです。

悪用される危険性に注意

例えば誰かがPC版のLINEで作成したQRコードをあなたに見せて、それを読み取らせ、「ログイン」ボタンを押させたとすれば、それだけであなたのアカウントでログインされてしまう可能性があります。

こうなると、「あなた」が、「その誰かのパソコン」に、ログインの許可を出すことになり、あなたのLINEアカウントがその誰かに使われてしまう状態になります。

実際はさらに危険

ちょっと複雑で面倒かもしれませんが実は、QRコードの中身はただのURL(https://line.me/R/au/q/...という形式)です。

なので、このURLを踏ませるだけでQRコードを読み取らせたことと同じ効果があり、すぐさまLINEアプリが起動し、「ログイン」ボタンが表示されます。

なので、実質的には、URLを踏ませてログインボタンを押させるだけ、です。

「ログイン」を押さなければ安全

たしかにこの企みは、「ログイン」を押してもらえなければ、成立しません

なので、どうして表示されたかよく分からないログインボタンは押さないように注意してください

でも「ログイン」を押してしまう

しかし、この種の「○○しなければ安全」は、世の中的なことを言えば、そこら中で簡単に突破されてしまっています

ましてや、今回のような、警告の弱い画面で、しかも1ボタンタップするだけであれば、とても簡単です。

問題点:警告がない

確かに「ログイン」をタップしてしまうユーザーが悪いかも知れません。

ただその一方で、「ログイン」画面の改良はできそうです。

naver-line-qr-code-login-security

現状、「ログインしますか?」と「他の端末にログインする場合「ログイン」を押して下さい」のみが表示されており、危険性の説明や、紹介がありません。

例えばTwitterの連携機能では、

twitter-katteni-retweet-auth-sample

このように、その危険を紹介しています。

それでも多くのユーザーが騙された結果がレイバンスパムだったりしますが、それでも運営側がリスクを認識して対策をしている、ということがわかる画面であり、重要です。

ここでTwitterとは、大きな違いがあります。それは、Twitterの連携機能が、もともとそのような「サービス間連携」を目的として作られた機能であることに対して、LINEのこのQRコードログイン機能は、本人が純粋にログインする為に用意された機能で、他人に利用する権利を渡すための機能ではない、ということです。

なので、純粋には、役割の異なる画面ですが、今回紹介しているような悪用方法は当然考えられるため、何らかの対策をしても良いのではないかと考えられます。

まとめ

今回は、誰かが作成したQRコードログイン用のログイン画面でうっかりログインボタンを押してしまうと、LINEアカウントにログインされてしまう危険性について紹介しました。

突然LINEにログイン画面が表示されてしまった場合は、自分でQRコードログイン画面を表示していない限り、ログインボタンを押さないよう、注意してください。

コメント(0)

新しいコメントを投稿