徳丸先生!「LINE乗っ取り犯の手口をくわしく教えて!」
「今、何してますか?忙しいですか?」
このセリフを聞くと大半のLINEユーザーは、“乗っ取り”というキーワードを即座に想像するのではないでしょうか。若者を中心に、日常のコミュニケーションツールとして、確固たる地位を築いたLINE。登録ユーザー数は世界で5億6千万人、日本だけでも5,400万人を超えます。(LINE社発表 2014年9月末時点)
そのLINEを使った“乗っ取り”詐欺が深刻な社会問題となり、ネット上では犯行の様子が数多く報告されていますが、そもそもなぜ乗っ取られてしまうのでしょう?今回は、LINE“乗っ取り”の仕組みについて、HASHコンサルティング株式会社 代表取締役 徳丸 浩 氏(独立行政法人情報処理推進機構(IPA)非常勤研究員)にお話しを伺いました。
MOTEX(以下、M):そもそもLINEの“乗っ取り”はどうやって行われるのでしょう?
徳丸氏:まず、LINEの“乗っ取り”が起こった際の現象で考えてみましょう。
LINEが乗っ取られると、本来の利用者はまったく使えなくなる、という状態になります。
なぜそういうことが起きるかというと、LINEはスマホ端末を一人一台しか設定できない仕様になっており、別のスマホでログインするということは、利用スマホを変更するという扱いになるからなのです。乗っ取り犯はLINEに登録していたスマホを乗り換えている、といえます。
M:では、“乗っ取り”はスマホからしかできないのですか?
徳丸氏:パソコンやWEBからのログインは何台でもできて、これは端末の追加になります。ただ、パスワードの変更はできないので元のユーザーが使えない、ということは起こらないはずなんですね。ですから、最終的にはスマホでログインしているはずです。
よくLINEの設定で「他端末ログイン許可」をOFFにせよと言われていますが、OFFにしたからといって防げるというものでもないのです。
M:「他端末ログイン許可」をOFFにしていても乗っ取られたというケースもあるのでしょうか?
徳丸氏:「他端末ログイン許可」をOFFにしていても、スマホ自体の端末変更はできますからね。パスワードが漏れてしまったら同じことです。では、スマホの端末変更をできなくすればよいのでは?と、考えられるかもしれませんが、それも難しい。もし、端末を紛失してしまった場合、LINE上で端末変更ができないと別の意味で困ります。端末が見つからなかったら、ログインが不可能になりますから。これは、機能としてなくすことが難しいのです。
M:なるほど・・・パソコンからの不正ログインが危ないのかと思っていたので意外でした。
徳丸氏:パソコンからログインするためには、登録しているスマホがその場にないとできないようになっています。
二経路認証と呼ばれるもので、まずパソコンからID(LINEの場合メールアドレス)とパスワードを正しくいれる、そうするとスマホに許可を求めてくるのでスマホ側で認証をする。この認証スタイルだと、スマホが手元にないとできませんよね。ですので、パソコンから不正ログインをすることは実は難しいのです。
IDとパスワードを入力する入口は3種類あります。
(1)スマホから端末変更をする
(2)パソコンから他端末としてログインする
(3)LINE STOREという専用のショッピングサイトでのログイン
このSTOREに不正ログインをしても、スタンプを購入するぐらいのことしかできません。
M:スタンプは転売もできないですしね。攻撃者にとってはあまりメリットがないように感じます。
徳丸氏:そうですね。しかし、攻撃はきているのです。
M:それは、なぜなんでしょう?
徳丸氏:推測ですが、IDとパスワードが正しいことの確認をしているのではないか、と考えています。WEBだと自動化もしやすいので。IDとパスワードが正しいとわかれば、次はスマホでやる。
M:段階を踏んで乗っ取ろうというわけですね。IDとパスワードはどうやって見つけるのですか?
徳丸氏:はっきりとしたことはわかりませんが、おそらくはパスワードリスト攻撃だろうと思います。つまり、別のところから漏れたIDとパスワードの一覧を入手し、それをLINEにあてはめてみる、という攻撃です。リスト元と同一のID・パスワードをLINEでも使用していると、そこでヒットしてしまうわけです。
M:そんなに簡単に一致するものなのでしょうか?
徳丸氏:過去にはネットゲームから何百万件のリストが漏れたという事件もありましたし、おそらく報道されていないものもあるのでしょう。LINEとユーザー層が重なるサービスからのリストであれば、ヒットするケースは十分あり得るでしょうね。
“乗っ取り”の手口は、複数の不正要素とLINEの仕組みを巧みに組み合わせたものだということがわかりました。では、実際に“乗っ取り”に合わないために、しておくべき対策とはどういったものがあるでしょう?
次回はLINEユーザーに必ず知っていてほしい、セキュリティ対策について引き続きお話を伺います。