LINEに深刻な脆弱性発見、トーク履歴・友達リストを不正取得

security-150126

突然だが想像してみてほしい。
安心してやり取りしていたメッセージアプリが、実は安全ではなかったということを。

メッセージアプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことがわかりました。利用者はスマートフォンなどで利用しているLINEのアップデートを確認し、最新の状態か至急確認してください。

「LINE」の脆弱性を利用されると、LINEアプリ内の[その他]にあるページを開いたり、メッセージ・タイムラインに記載されたURLにアクセスしたりした場合に、LINE内のトーク内容・友だち一覧などのデータが取得・改ざんされる可能性がありました。

この脆弱性はサイバーセキュリティ・ラボのスプラウトが発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告していました。

2月2日にIPAから連絡を受けたLINEは、2月12日に脆弱性の対応をまずサーバー側で実施し、iOS版アプリは3月4日に、Android版アプリは3月10日のアップデートにより抜本的な対策が完了しているとしています。

<セキュリティ情報>LINEの脆弱性と修正完了に関するお知らせ
http://official-blog.line.me/ja/archives/24809761.html

スポンサーリンク

脆弱性と不正に取得されるデータ

LINEでは詳細を明らかにはしておりませんが、今回見つかった脆弱性はLINEがインストールされている「iPhone」や「Android」のどちらでも確認されていたといい、多くの利用者が危険な状態に置かれていました。

この脆弱性を利用した攻撃を受けると、LINE内で不正なプログラムが実行されてしまい、攻撃者がLINE内部のデータに自由なアクセスが出来てしまうことになります。また、アクセスできるデータの対象が大きく、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報にまで及んでいます。

想定される攻撃方法

想定される攻撃方法は大きく2つが考えられ、ひとつめとして、悪意のある攻撃者が駅やカフェなど公共の場所に、公共に提供されているように見せかけた偽の無線LANアクセスポイントを設置し、不用意に接続してきた利用者のスマートフォン端末に、脆弱性を突いた攻撃をしかけてLINEのデータを取得するというものです。

もうひとつは、攻撃者が利用者に複数の「友だち申請」を行い、その友だちの「名前」に不正なプログラム・コードを埋め込む手法です。この「友だち申請」のメッセージやリンクを通じて不正なプログラムが実行されてしまうと、LINE内のデータが不正に取得されてしまいます。

通常は一般の利用者が入力できる名前やグループ名などには、プログラム・コードが埋め込まれないような対策を取るのはセキュリティ上必須ですが、LINEでは実施されていませんでした。

今後の対策

今回発見された脆弱性は最新バージョンで修正され対応が完了しているものの、今後同じようなことがLINEに限らず発生しないとは言い切れません。

利用者が出来るセキュリティ対策として、不用意に公衆無線LANに接続しない、SNSなどで見知らぬ相手と繋がることを避ける、リンクを安易にクリックしない、重要なデータを安全性が確認されていないアプリやサービスでやり取りしない、といったことが重要です。

スポンサーリンク

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です