■ このスレッドは過去ログ倉庫に格納されています
【IT】「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
- 1 :◆CHURa/Os2M@ちゅら猫φ ★:2015/03/16(月) 16:17:32.81 ID:???
- ★「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
Cyber Incident Report 3月16日(月)10時55分配信
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が
存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに
保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、
改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。
利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。
この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』
発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)
に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部について
サーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。
LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と
「マン・イン・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。
これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマート
フォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版に
アップデートされていなければ現在も危険な状態だ)。
この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)
が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者が
アクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、
写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、
LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けて
いたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の
様々な処理を実行できる仕様になっていたためだ。
想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に
偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどから
インターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行
させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者の
LINEデータが攻撃者のサーバーに送信される。
もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に
不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正な
プログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。
名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上
必須だが、LINEにはそこに漏れがあった。
今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこない
とも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が
分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ
相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていない
アプリやサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側の自衛には
限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から
利用者を守るための様々な対策が求められる。
http://headlines.yahoo.co.jp/hl?a=20150316-00010000-cyberir-sci
- 2 :名無しさん@13周年:2015/03/16(月) 16:19:01.62 ID:aXS8YNKHB
- Traveling circus
- 3 :名無しさん@13周年:2015/03/16(月) 16:28:41.34 ID:ilydomdwf
- 知ってた
- 4 :名無しさん@13周年:2015/03/16(月) 16:47:49.60 ID:49mGkzC8f
- 危険です
すべて
盗みとまれてます
- 5 :名無しさん@13周年:2015/03/16(月) 16:49:24.23 ID:pqbZzH0a+
- <丶`∀´>ククク…
- 6 :名無しさん@13周年:2015/03/16(月) 16:50:51.01 ID:v7jPIZODs
- わ・ざ・と
- 7 :名無しさん@13周年:2015/03/16(月) 16:54:28.56 ID:n0fHUfmI+
- 韓国製アプリですから
- 8 :名無しさん@13周年:2015/03/16(月) 17:03:02.16 ID:pqbZzH0a+
- <丶`∀´;>ゞ ウリを悪く言う奴に嫌がらせしなきゃならんもんでニダ
- 9 :名無しさん@13周年:2015/03/16(月) 17:05:59.38 ID:pCIkbVZwh
- もうメールでいいよw
- 10 :名無しさん@13周年:2015/03/16(月) 17:10:38.70 ID:HT4qqlAPc
- 脆弱性より何か仕込まれていないかの方が・・・
- 11 :名無しさん@13周年:2015/03/16(月) 17:24:18.91 ID:U6u/ysf76
- 政府官公庁関係者はすぐに使うのをやめるべき。
- 12 :名無しさん@13周年:2015/03/16(月) 17:55:15.01 ID:+Yd4WsJre
- 使ってるのって中高生が多いんでしょ
そしたらもっと具体的に分かりやすく起こり得る被害の例を挙げて説明しないと危機感は伝わらないんじゃないかな
- 13 :名無しさん@13周年:2015/03/16(月) 18:15:23.79 ID:7ukTCWQIq
- 元からw
- 14 :名無しさん@13周年:2015/03/16(月) 18:43:24.19 ID:xrMVCs5Ck
- LINEってJavaScript動いてるのか・・・使ったことないから知らなかったわ
事業者に情報丸見えという話題は見たことあるがそれ以前の問題じゃねーか
- 15 :名無しさん@13周年:2015/03/16(月) 19:45:32.54 ID:1D2Ri1G2m
- 脆弱性じゃなくて仕様です
- 16 :名無しさん@13周年:2015/03/16(月) 20:02:54.98 ID:ujev8mva0
- ここもオフにしてるとスゲー入りにくい
- 17 :名無しさん@13周年:2015/03/16(月) 20:05:14.83 ID:ujev8mva0
- モバイルってただでさえ、状況を把握しづらいし
ターゲットはパソコンから下りてきたのではなく持ってない知識もない層だろう
- 18 :名無しさん@13周年:2015/03/16(月) 21:00:06.54 ID:qrZikzIsD
- だって韓国の会社だし。
携帯にバックドアとか…テレビに…とか
- 19 :名無しさん@13周年:2015/03/17(火) 00:07:06.19 ID:lAUzpfyWj
- 韓国の会社とかくしてるし
こういう事件のいんぺい
怖い怖い
- 20 :名無しさん@13周年:2015/03/17(火) 06:51:29.98 ID:OPEOYcKJ2
- 「知ってた」スレはここですか?
- 21 :名無しさん@13周年:2015/03/17(火) 07:33:33.18 ID:Q13hdgVAn
- > 不用意に運営元が分からない公衆無線LANに接続しない
これも困難だろ、公開されているSSIDで識別されるのだから
なりすましAPの設置や持ち歩きは可能だし
DNSを細工すれば、www.google.comで偽装サーバに繋ぐ事もできる
全ての通信をプロクシ透過して、ID/パスワードを抜く事だってできる
- 朝鮮系サービスを使用しない
- 支那系ネットワーク機器を使用しない
- 三星やレノボなど国策企業のスパイ商品を買わない
この3つは、まず最初に守っておくべきセキュリティ対策だろな
- 22 :名無しさん@13周年:2015/03/17(火) 10:47:28.62 ID:xc/ctLK46
- 成りすましAPは怖いな
幾らでもフィッシングできる
- 23 :名無しさん@13周年:2015/03/17(火) 10:59:12.26 ID:lAUzpfyWj
- めざましではさらっと報道しただけ
- 24 :名無しさん@13周年:2015/03/17(火) 17:44:12.49 ID:lAUzpfyWj
- TBSらが報道しないで危険なので
あげます
- 25 :名無しさん@13周年:2015/03/17(火) 23:39:23.52 ID:lAUzpfyWj
- TBS
隠蔽
- 26 :名無しさん@13周年:2015/03/17(火) 23:53:16.30 ID:ztBW5Lq+y
- これほど危険性が指摘され、社会問題を起こしているにも関わらず
使い続けるバカと規制しないバカの集まり。それが日本。
- 27 :名無しさん@13周年:2015/03/18(水) 01:00:16.75 ID:jezVK3kbk
- 『割れ物のwin系osを使って開発したから』とかいう結論は、
ありそうなのかな?
- 28 :名無しさん@13周年:2015/03/18(水) 13:11:13.90 ID:GVmmCZYqM
- 報道しませn
韓国の犯罪は隠蔽
- 29 :名無しさん@13周年:2015/03/18(水) 15:22:59.32 ID:0HD27sGJT
- 韓国国情院(KCIA)に傍受されていることが分かっているLINEなんて使ってるのは情弱だけ
- 30 :名無しさん@13周年:2015/03/19(木) 01:41:56.85 ID:01/nFWMOY
- セキュリティガバガバルートキットnProの開発元だろ?さもありなんだわ。LINE使ってる情弱は早いとこ目を醒ますべき。
- 31 :名無しさん@13周年:2015/03/19(木) 02:05:26.43 ID:BkXjg6MQd
- それに近いことは最初から言われてるやん
- 32 :名無しさん@13周年:2015/03/19(木) 02:06:29.14 ID:BkXjg6MQd
- >>26
それだけ外資や産業スパイが力を持ってしまったてことを深刻に考えるべき
- 33 :名無しさん@13周年:2015/03/19(木) 02:11:09.82 ID:G+OK6uB6t
- 脆弱性の有無にかかわらず、
LINEは中韓に筒抜けだけどな。
- 34 :名無しさん@13周年:2015/03/19(木) 02:14:57.74 ID:EOCSYgOEI
- 筒抜けだからつかわない
危なすぎ
- 35 :名無しさん@13周年:2015/03/19(木) 02:18:36.20 ID:G+OK6uB6t
- 企業や官庁でLINE使っている奴はバカ。
情報垂れ流し。
- 36 :名無しさん@13周年:2015/03/19(木) 02:20:47.38 ID:ClGxEprl+
- >>12
- 37 :名無しさん@13周年:2015/03/19(木) 14:10:32.12 ID:EOCSYgOEI
- マスゴミが隠してるのであげときます
危険
- 38 :名無しさん@13周年:2015/03/19(木) 23:08:51.42 ID:EOCSYgOEI
- なんどでも注意します
あrTBSまた隠蔽?
- 39 :名無しさん@13周年:2015/03/20(金) 00:27:24.38 ID:fylEI4Swg
- 未だ食べている奴がいるのか、
腹壊すぞ。
総レス数 39
9 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★