無料メッセージアプリケーション「LINE」の乗っ取りはなお止まない。7月17日に新たなセキュリティ対策「PINコード」を導入した後も、被害が発生し続けている。今回は LINE へ問い合わせた結果も踏まえてその原因を推測し、自衛方法を考える参考として紹介する。

LINE、乗っ取りまだ終わらず--「PIN コード」でもダメ?ユーザーは自衛を
乗っ取りは、PIN コード導入後も発生している

■ これまでのセキュリティ対策



最近はとあるサービスから流出したパスワードのリストを使って別のサービスに不正ログインを試みる「パスワードリスト」型攻撃が頻発している。同じパスワードを使いまわす人が多いためで、LINE の乗っ取り被害の原因と言われている。

LINE はすでにパスワード変更を呼びかけるキャンペーンを打ち、PC 版へ2段階認証を導入したが、依然として被害が起きていたため、7月17日にはスマートフォン版に、4ケタの暗証番号「PIN コード」を導入した。

PIN コード登録、入力画面
PIN コード登録、入力画面

電話番号の異なるスマートフォンでログインする際には ID、パスワードに加え、PIN コードの入力が必要になった。サイバー犯罪者が、どこかのサービスから流出した ID、パスワードを入手しても、PIN コードが分からなければ不正ログインはできなくなった。

PIN コードは本来、ユーザーが個別に設定するが、初期値は使っているスマートフォンの電話番号下4ケタとなっている。したがって、うっかり PIN コードを設定し忘れたまま、機種変更などをしたユーザーも、以前の番号の下4ケタを思い出せればよいことになる。

セキュリティと利便性の釣り合いをとった新機能といえる。これでようやく乗っ取りに終止符が打たれるかに思われた。

■ 新たな被害

ところが、7月18日なっても、新たな被害が起きている。

手口は以前とまるで同じだ。サイバー犯罪者が、乗っ取ったアカウントになりすまし、米国 Apple のプリペイドカード「iTunes カード」を買ってきてほしいとねだる。日本語が生硬で、注意深いユーザーはすぐにおかしいと気づく言葉遣いだ。

「unknown」が乗っ取りに遭ったアカウント
「unknown」が乗っ取りに遭ったアカウント

しかし LINE の通話機能を使って連絡するそぶりを見せたり、こちらのメッセージに応答したりと、信用を得るためあれこれと仕掛けてくるところから見て、騙される人がいないと断言はできない。事実、過去に金銭の詐取が発生している。

「事業の調子はどうですか?」と聞くと 「いいです」と返答したが、関心は金銭
「事業の調子はどうですか?」と聞くと
「いいです」と返答したが、関心は金銭

通話するそぶりは示すが、こちらの発信には応じない
通話するそぶりは示すが
こちらの発信には応じない

なぜ、PIN コード導入後もこうした乗っ取りが止まないのだろうか。

■「PIN コード」の抜け穴

原因はいくつか推測できる。

まず、他社サービスから ID、パスワードとともに携帯電話番号も漏洩(ろうえい)している恐れがある。その場合、自ら PIN コードを設定していないユーザーは、初期値となっている電話番号の下4ケタを知られているため、やすやすと乗っ取りに遭ってしまう。

もう一つの可能性は、「Facebook 認証」で LINE のアカウントを作成している場合。電話番号を登録しないため、当初は PIN コードによる保護が無効になっている。

ほかに、4ケタの番号を総当たりで試して認証を突破する「ブルートフォース」攻撃も考えられる。LINE の広報に対し、総当たり攻撃にどのような対策を立てているかを尋ねたところ、セキュリティ上の理由から明かせないとの回答だった。

■ 自衛方法は


それでは PIN コードの抜け穴をふさぐためにユーザーはどうすべきか。

初期値である携帯電話番号の下4ケタのままになっている場合は、すぐ独自の番号に変更する必要がある。また Facebook 認証で LINE のアカウントを作成している場合は、一刻も早く 新規に PIN コードを設定する。いずれも同じ数字の羅列や誕生日など類推しやすいものは避ける。

さらに PIN コードだけでなく、パスワードも忘れずに独自のものに変更しておく。

■LINE は新たなセキュリティ対策を検討

とはいえユーザー側の努力には限界がある。今後、 LINE 自体の新たな対応も求められる。同社の広報によると、別の乗っ取り対策を検討しているという。具体的な内容は語らなかったが、何らかのシステム上の変更が加わる可能性が高い。

果たして今度こそ切り札になるだろうか。留意すべきは、LINE のユーザーは、高度なセキュリティ機能を使いこなせる、IT に詳しい人ばかりではない点だ。新たな対策は、あくまでもそうした層が簡単に導入でき、かつ有効なものでなくてはならない。