“Line powered by Naver Japan NHN by Jon Russell, on Flickr”
LINE乗っ取りの実情聞いてるとどうもパスワードの設定とか、モバイル側での設定とかそんなのじゃなくサーバーが脆弱性もっててサーバー側で丸ごと乗っ取られてるんじゃないかという気がしなくもない。
*つい先日の知り合いの事例
1. パスワードはランダムに発生させた文字列12文字以上
2. そのパスワードはLINE専用、他のサービスで使っていない
3. PIN CODEは設定済みとのこと
4. Email設定済みで他のPCでログインは可能
この人はセキュリティ対策もわかってる人なのでちゃんとパスワードはランダム関数で発生させた意味をなさない文字列のパスワードで12文字以上のものを設定していた。そして他のサービスではこのパスワードは使ってないらしい。
乗っ取りのひとつの理由として他のサービスで同じパスワードを使っていて、それが情報流出で乗っ取り犯に情報が渡り、そのパスワードでログインされるというもの。しかし、今回の場合それには当たらないし、パスワード情報が流出しようがほとんどの場合はパスワード情報自体はハッシュ値で保存されているだろうから、それはそのまま使えない。そのハッシュ値のもとになる文字列を探し当てるために再度総当りが必要になってひとつひとつのパスワード解析に時間がかかりすぎる気がする。
9-1. パスワードの取り扱い : IPA 独立行政法人 情報処理推進機構:情報セキュリティ
結局パスワードの総当たりなどで突破しようとすると一件一件に時間がかかりすぎて、その後のiTunesカードを買って送ってくれ作戦の成功率を考えてもそれだけ時間をかけるメリットがない。パスワード解析の暁には確実に騙して金を手に入れることができるのであれば時間かけてもやるだろうが、その後のメッセージの送り方、騙し方を考えると成功率は全然高くないはず。
セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ
上記のリンクではPC上で総当りの手法でzipファイルのパスワードやMS Officeファイルのパスワードの突破を試みるときにかかる時間について実験してるが、英文字大小、数字、記号が入力できるパスワードで10桁のものが設定されていた場合すべてのパスワードのパターンを試すまでに341年かかる。これをネットワーク越しにやるなら時間的には何倍、何十倍とかかるはずなので、こんなことをやるぐらいならもっと金になる話がいっぱいあると思う。
今回のパスワードが突破されたことを考えたら、逆にサーバー側になんらかの脆弱性があって、乗っ取る時はサーバー丸ごと一台分、ユーザ数は何十万人分とかを一気に乗っ取って、それに対してiTunesカード買ってくれメッセージを一斉送信、返答のあるアカウントだけ、人が個別対応、とするなら効率的なんである程度やっても意味があるかなと思う。
LINEの他端末でのログインを不可にすれば乗っ取られの実績はないみたいだが、サーバー側が乗っ取られるのであれば、その対策も簡単にサーバー側で設定が書き換えられてしまう可能性があってすぐに他のPCでログインされてしまうと思う。とすればユーザ側でパスワード変更やらの設定で対策しようが何も意味がなく、サーバー側で脆弱性対策をしっかりやってもらわないといつまでもなくならいということになる。ネットでも「サーバー側に問題あるんじゃない?」的な事を書いてる記事が出てこないんだけどホントにユーザ側設定が原因で乗っ取られてるのかな?100%がそうじゃないと思うんだが。。。
まあ上記のような勘ぐりをしてしまう。ただ、個人的にはこういうセキュリティハッキング的な話なんて職場の人間とするようなこともとんとなくなっており、そういうニュースも最近は全然読まないので全然見当外れの内容を書いてしまってるかもしれない。なんか具体的にこんな形でハッキングしてんだよ、ってな面白い話を知ってる方はぜひご教示ください。。。
んで、結局現状LINE使ってる人はどうしたらいいの?って質問の答えは、「使わない」がいいんじゃないでしょうか。。。通常の使い勝手は別に悪くないんだが端末リセットした時とか、他の端末に乗り換えた時にメッセージ引き継げないのが(絶対サーバー側にメッセージ残してると思うんだけどなぜにユーザーに見せないのか?それともホントにサーバー側に残してないの?)どうもめんどくさくてイマイチ好きじゃないんだよなあ。それ考えるとFacebookメッセンジャーのほうが使いやすい。メッセージデータはサーバーにあってマルチデバイス対応ですもん。LINEと同じぐらいに使ってるユーザー多いし。ですが、他のサービス使おうが本質的に乗っ取りのリスク自体はLINEと一緒ですな。SMS使うか。。