15/03/16 16:17:32.81
★「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
Cyber Incident Report 3月16日(月)10時55分配信
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が
存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに
保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、
改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。
利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。
この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』
発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)
に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部について
サーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。
LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と
「マン・イン・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。
これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマート
フォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版に
アップデートされていなければ現在も危険な状態だ)。
この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)
が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者が
アクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、
写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、
LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けて
いたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の
様々な処理を実行できる仕様になっていたためだ。
想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に
偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどから
インターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行
させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者の
LINEデータが攻撃者のサーバーに送信される。
もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に
不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正な
プログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。
名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上
必須だが、LINEにはそこに漏れがあった。
今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこない
とも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が
分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ
相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていない
アプリやサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側の自衛には
限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から
利用者を守るための様々な対策が求められる。
URLリンク(headlines.yahoo.co.jp)