徳丸先生!PINコードだけで大丈夫?LINEセキュリティ対策の裏事情とは
前回の『セキュリティのプロに聞く!』では、LINEの“乗っ取り”がどのように行われているのかを、HASHコンサルティング株式会社 代表取締役 徳丸 浩 氏(独立行政法人情報処理推進機構(IPA)非常勤研究員)に詳しく解説していただきました。
≫前回の記事はこちらから
徳丸先生!「LINE乗っ取り犯の手口をくわしく教えて!」
では、“乗っ取り”被害に合わないためにはどうすればいいのでしょうか。個人でやるべき対策について、お話を伺ってみましょう。
MOTEX(以下、M):LINEを乗っ取られないために、事前にやるべきことを教えてください。
結局はパスワードなんです。もちろん推測されやすい12345…のようなものはNGですが、大切なのは、サービスごとに違うパスワードを設定すること。使い回しは絶対にダメですね。
M:使い回しをしていることで、万が一他のサービスからID・パスワードが漏れてしまった時に、その不正リストを元に乗っ取られてしまう…ということですね
はい。これはLINEに限らずですね。銀行やWEBサービスなど、様々な場面でパスワードを登録する機会が多いかと思いますが、個別のパスワードを設定すること。これが一番大切です。
また、PCからにしてもLINE STOREからにしても、ログインの試みがあればトークで通知がきますので、それは注意しておいた方がいいですね。
例えば、「LINEウェブストアにログインしました」という通知が来たらIDとパスワードが漏れているということですから、これはすぐにパスワードを変更しないといけません。
LINEの場合はログインの失敗でも通知がきます。失敗で通知がくるということは、ID(メアド)まではあっている、ということを意味しています。可能であればメアドを変えた方がいいですし、同じパスワードを他でも利用していないか確認した方がいいでしょう。
M:LINEではセキュリティ向上のために、PINコードの設定が推奨されていますが、これはやはり効果的なのでしょうか?
もちろん、設定しておくにこしたことはありません。しかし、PINコードを設定したから安心か…というと、そうとも言い切れません。
「二要素認証」という言葉があります。認証とは、そのユーザーが本人かどうかを確認するためのプロセスですね。
そして、要素とは次の3つを指します。
- 「記憶」… ユーザー本人が知っていること(パスワードやPINコード)
- 「持ち物」…ユーザー本人が持っているもの(スマホ端末やトークン)
- 「身体的特徴」…ユーザー本人を識別する身体の特徴(指紋など)
「二要素認証」はこの中から2つの要素を使ってユーザーの本人確認をしますよ、ということ。ID・パスワードだけの認証より信頼性が高いといえます。
これをLINEにあてはめると、パスワードもPINコードもどちらも「記憶」の要素なんですね。二段階ではあるけれど一要素。前回、パソコンからLINEにログインする場合は、スマホが手元にないといけない、とお話しましたが、この場合は「記憶」と「持ち物」で二要素。でも、LINEアカウントに紐づくスマホの変更、つまり“乗っ取り”は、「記憶」の要素だけでできてしまうのです。
M:なぜLINEのスマホ端末変更も「二要素認証」にできないのでしょう?
仮に、スマホの端末変更に「ID・パスワード(記憶)」と、「元のスマホ(持ち物)」の両方が必要だったとしましょう。スマホが壊れて買い換えた場合を考えてみてください。
IDとパスワードは分かっても、「元のスマホ」がない以上、二度とLINEにログインはできなくなってしまいます。利用者としては、ちょっとリスクが大きすぎますよね。
M:なるほど・・・やはり、しっかりとしたパスワードを設定して、使い回しをしないこと。それが一番大切、ということですね。
その通りです。最近では、パスワードを管理するための便利なアプリなども出てきているので、そういったツールを活用するのもいいでしょう。何より、重要なパスワードは責任をもって管理をしなければいけないという個人の意識が大切ですね。
情報漏えい妖怪紹介!
百告堂(ひゃっこくどう)
今回のテーマである「LINE」に潜む妖怪。アカウントユーザーにそっくりな傀儡(くぐつ)を腹話術のようにあやつり、人々をまどわす。
「何してますか?忙しいですか?手伝ってもらっていいですか?」・・・