2015/03/17
- 1 :◆CHURa/Os2M@ちゅら猫φ ★:2015/03 /16(月) 16:17:32.81 ID:???
- ★「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
CyberIncidentReport3月16日(月)10時55分配信
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪 意ある攻撃者に突かれると、利用者のスマートフォンに保 存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、 この脆弱性を 修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろ う。
この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソ フトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けた LINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとして いる。
LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン・ザ・ミドル(中間者)」と 呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。これらの脆弱性は、LINEがインストールされている「iPhone」や 「Android」搭載の主要なスマートフォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版に
アップデートされていなければ現在も危険な状態だ)。
- この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)が
実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なことだ。対
象となるデー
タは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、LINEの利用
者が「安全」
に保存されていると信じている殆どのデータが、実は危機に晒され続けていたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者が
JavaScriptを使って内部の
様々な処理を実行できる仕様になっていたためだ。
想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポイントを設置し、 そこに不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実 行させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者のLINEデータが攻撃者のサーバーに送信 される。
もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込む手法だ。 その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサー バーに送られる。名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上必須だが、LINEにはそこに漏 れがあった。
今 回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこないとも限らない。LINEに限らず、利用者がこ ういったサイ バー攻撃から身を守るには、不用意に運営元が分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで 見知らぬ相手 と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていないアプリやサービスではやり取りしない、といった 基本的な自衛 が必要だ。とはいえ、利用者側の自衛には限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から利 用者を守るための様々な対策が求められる。
http://headlines.yahoo.co.jp/hl?a=20150316-00010000-cyberir-sci
- 9 :名無しさん@13周年:2015/03/16(月) 17:05:59.38 ID:pCIkbVZwh
- もうメールでいいよw
- 10 :名無しさん@13周年:2015/03/16(月) 17:10:38.70 ID:HT4qqlAPc
- 脆弱性より何か仕込まれていないかの方が・・・
- 12 :名無しさん@13周年:2015/03/16(月) 17:55:15.01 ID:+Yd4WsJre
- 使ってるのって中高生が多いんでしょ
そしたらもっと具体的に分かりやすく起こり得る被害の例を挙げて説明しないと危機感は伝わらないんじゃないかな
- 14 :名無しさん@13周年:2015/03/16(月) 18:43:24.19 ID:xrMVCs5Ck
- LINEってJavaScript動いてるのか・・・使ったことないから知らなかったわ
事業者に情報丸見えという話題は見たことあるがそれ以前の問題じゃねーか
- 17 :名無しさん@13周年:2015/03/16(月) 20:05:14.83 ID:ujev8mva0
- モバイルってただでさえ、状況を把握しづらいし
ターゲットはパソコンから下りてきたのではなく持ってない知識もない層だろう
- 22 :名無しさん@13周年:2015/03/17(火) 10:47:28.62 ID:xc/ctLK46
- 成りすましAPは怖いな
幾らでもフィッシングできる
コメント(
73276:
名無しの名言者:
未投票
:2015/03/17 20:18:11
ID:M0ZWRkNzY2
0
票
0
票
ん?今更感というか、そんなの当たり前だし個人情報ぶっこ抜かれても平気なツラしてられる奴がライン使ってんじゃないの?
73277:
名無しの名言者:
未投票
:2015/03/17 20:59:54
ID:RlYTgwODU4
0
票
0
票
サークルメンバー全員LINEやってない(というか嫌い)ので
サークルサイトで借りたレンタルサーバーでプライベートチャット立ててリアルタイムの話はそこで
それ以外はメールでやってるけど別に不便無い
既読スルーとかも無縁だし精神衛生上も気楽でいい
サークルサイトで借りたレンタルサーバーでプライベートチャット立ててリアルタイムの話はそこで
それ以外はメールでやってるけど別に不便無い
既読スルーとかも無縁だし精神衛生上も気楽でいい
- ・コメントの評価に応じて色と大きさが変化
- ・スパム対策のためコメント内容がhttpを含んでいる場合弾いていますのでご注意ください。
- ・コメントID制導入しました。なお、2chや他サイトのIDとの関連は一切ありません。
- ・コメント抽出機能追加しました!コメントについているIDをクリックすると同一のIDがついているコメントを抽出することができます。
- ・ご意見ご要望はこちらまで→アイディア、ご意見の募集
「一言いいたいニュース」タグの最新記事
- “受験秀才”はいらない 新たに東大が求める学生とは
- E-Girls Ami、「やったー。」、賞金100万円に到達した時点で自首し 炎上
- 炊飯器がテロに加担?〝お茶の間〟に迫るサイバー攻撃の脅威 「スマート家電」を遠隔操作…SFの世界が現実に
- 一生行くことはないだろうと思う都道府県ランキング
- 「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
