無料メッセージアプリケーション「LINE」で、乗っ取り対策のための新キャンペーンが始まった。本人確認のための4ケタの暗証番号「PIN コード」を登録、変更すると、特典として LINE のキャラクタが登場するスタンプを無料で受け取れる。期間は9月6日まで。

LINE、「PIN コード」変更したユーザーにスタンプをプレゼント--また新たな乗っ取り対策
キャンペーンの特典となる特製スタンプ

LINE のアプリから「その他」「設定」「アカウント」「PINコード」をたどっていくと登録できる。すでに登録している人も、別の暗証番号に変更すればキャンペーンに参加できる。登録、変更手続きが完了した後は、キャンペーンの専用ページにアクセスすれば、ムーンなどのキャラクタが登場するスタンプ16種類を無料でダウンロードできる。いずれも通常のスタンプと同じように LINE の投稿を飾るのに使える。

■ LINE は乗っ取り対策にあの手この手



ここ最近、LINE では、サイバー犯罪者がユーザーになりすまし、家族や友達に金品をねだる「乗っ取り」が後を絶たない。

原因は、ほかのサービスから流出した ID、パスワードのリストを使って不正ログインを試みる「パスワードリスト」型攻撃と見られている。複数のサービスで同じ ID、パスワードを使いまわしている人が多いため、被害が広がりやすいようだ。

LINE ではさまざまな対策を繰り出してきた。パスワードを変更した人がスタンプを受け取れるキャンペーンや、PC 版アプリへの「2段階認証」の導入などだ。そして7月中旬からは、以前と電話番号の異なるスマートフォンでログインする際に ID、パスワードに加え、PIN コードの入力が必要になった。

これによりサイバー犯罪者が、ほかのサービスから流出した ID、パスワードを入手しても、LINE 独自の PIN コードを知らなければログインできなくなった。

ただし、PIN コードの初期値は使っているスマートフォンの電話番号の下4ケタになっている。もし ID やパスワードと一緒に電話番号も流出していたとすると、そのままではサイバー犯罪者が簡単に突破できてしまう。また Facebook 認証を使って LINE のアカウントを作成した人は、電話番号を登録しないため、当初は PIN コードによる保護がそもそも無効になっている。

こうした PIN コードの穴をふさぐためには、ユーザーが他人に知られていない暗証番号を自分で設定する必要がある。その意味で今回のキャンペーンには効果を期待できそうだ。

■電話番号も流出している?どこから?


一方で LINE のキャンペーンは、ある不安な示唆を含んでいる。

つまり、どこか他社のサービスから ID、パスワードとともに電話番号が流出した恐れを、LINE はある程度まで真剣に考えているということだ。事実とすれば、いったいどこなのかは気にかかるところだ。

もちろん、いったん漏洩(ろうえい)したユーザー情報は「名寄せ」が可能だ。例えば、パスワードが流出したサービスと電話番号が流出したサービスが別々でも、同じユーザー名に関連付けられていれば、サイバー犯罪者はそれらを1つにまとめた名簿を作って売買できる。従って特定の1社のサービスだけが原因とは限らない。

いずれにせよ、乗っ取りの背後には意外に根が深い問題があると考えた方がよいかもしれない。