【ＩＴ】「LINE」に深刻な脆弱性　外部から全トーク履歴を抜き出される危険性あり

1 ：◆CHURa/Os2M＠ちゅら猫φ ★：2015/03/16(月) 16:17:32.81 ID:???

★「LINE」に深刻な脆弱性　外部から全トーク履歴を抜き出される危険性あり
Cyber Incident Report 3月16日(月)10時55分配信

全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が
存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに
保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、
改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。
利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。

この脆弱性はサイバーセキュリティ・ラボのスプラウト（本記事掲載の『サイバーインシデント・レポート』
発行元）が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA（独立行政法人情報処理推進機構）
に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部について
サーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と
「マン・イン・ザ・ミドル（中間者）」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。
これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマート
フォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える（最新版に
アップデートされていなければ現在も危険な状態だ）。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード（JavaScript）
が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者が
アクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、
写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、
LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けて
いたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の
様々な処理を実行できる仕様になっていたためだ。

想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に
偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどから
インターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行
させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者の
LINEデータが攻撃者のサーバーに送信される。

もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に
不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正な
プログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。
名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上
必須だが、LINEにはそこに漏れがあった。

今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこない
とも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が
分からない公衆無線LANに接続しない、SNS（ソーシャル・ネットワーキングサービス）などで見知らぬ
相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていない
アプリやサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側の自衛には
限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から
利用者を守るための様々な対策が求められる。

http://headlines.yahoo.co.jp/hl?a=20150316-00010000-cyberir-sci

2 ：名無しさん＠１３周年：2015/03/16(月) 16:19:01.62 ID:aXS8YNKHB

Traveling circus

3 ：名無しさん＠１３周年：2015/03/16(月) 16:28:41.34 ID:ilydomdwf

知ってた

4 ：名無しさん＠１３周年：2015/03/16(月) 16:47:49.60 ID:49mGkzC8f

危険です

すべて

盗みとまれてます

5 ：名無しさん＠１３周年：2015/03/16(月) 16:49:24.23 ID:pqbZzH0a+

<丶｀∀´>ｸｸｸ…

6 ：名無しさん＠１３周年：2015/03/16(月) 16:50:51.01 ID:v7jPIZODs

わ・ざ・と

7 ：名無しさん＠１３周年：2015/03/16(月) 16:54:28.56 ID:n0fHUfmI+

韓国製アプリですから

8 ：名無しさん＠１３周年：2015/03/16(月) 17:03:02.16 ID:pqbZzH0a+

<丶｀∀´;>ゞ ウリを悪く言う奴に嫌がらせしなきゃならんもんでニダ

9 ：名無しさん＠１３周年：2015/03/16(月) 17:05:59.38 ID:pCIkbVZwh

もうメールでいいよw

10 ：名無しさん＠１３周年：2015/03/16(月) 17:10:38.70 ID:HT4qqlAPc

脆弱性より何か仕込まれていないかの方が・・・

11 ：名無しさん＠１３周年：2015/03/16(月) 17:24:18.91 ID:U6u/ysf76

政府官公庁関係者はすぐに使うのをやめるべき。

12 ：名無しさん＠１３周年：2015/03/16(月) 17:55:15.01 ID:+Yd4WsJre

使ってるのって中高生が多いんでしょ
そしたらもっと具体的に分かりやすく起こり得る被害の例を挙げて説明しないと危機感は伝わらないんじゃないかな

13 ：名無しさん＠１３周年：2015/03/16(月) 18:15:23.79 ID:7ukTCWQIq

元からw

14 ：名無しさん＠１３周年：2015/03/16(月) 18:43:24.19 ID:xrMVCs5Ck

LINEってJavaScript動いてるのか・・・使ったことないから知らなかったわ
事業者に情報丸見えという話題は見たことあるがそれ以前の問題じゃねーか

15 ：名無しさん＠１３周年：2015/03/16(月) 19:45:32.54 ID:1D2Ri1G2m

脆弱性じゃなくて仕様です

16 ：名無しさん＠１３周年：2015/03/16(月) 20:02:54.98 ID:ujev8mva0

ここもオフにしてるとスゲー入りにくい

17 ：名無しさん＠１３周年：2015/03/16(月) 20:05:14.83 ID:ujev8mva0

モバイルってただでさえ、状況を把握しづらいし
ターゲットはパソコンから下りてきたのではなく持ってない知識もない層だろう

18 ：名無しさん＠１３周年：2015/03/16(月) 21:00:06.54 ID:qrZikzIsD

だって韓国の会社だし。
携帯にバックドアとか…テレビに…とか

19 ：名無しさん＠１３周年：2015/03/17(火) 00:07:06.19 ID:lAUzpfyWj

韓国の会社とかくしてるし

こういう事件のいんぺい

怖い怖い

20 ：名無しさん＠１３周年：2015/03/17(火) 06:51:29.98 ID:OPEOYcKJ2

「知ってた」スレはここですか？

21 ：名無しさん＠１３周年：2015/03/17(火) 07:33:33.18 ID:Q13hdgVAn

> 不用意に運営元が分からない公衆無線LANに接続しない

これも困難だろ、公開されているSSIDで識別されるのだから
なりすましAPの設置や持ち歩きは可能だし

DNSを細工すれば、www.google.comで偽装サーバに繋ぐ事もできる
全ての通信をプロクシ透過して、ID/パスワードを抜く事だってできる

- 朝鮮系サービスを使用しない
- 支那系ネットワーク機器を使用しない
- 三星やレノボなど国策企業のスパイ商品を買わない

この3つは、まず最初に守っておくべきセキュリティ対策だろな

22 ：名無しさん＠１３周年：2015/03/17(火) 10:47:28.62 ID:xc/ctLK46

成りすましAPは怖いな
幾らでもフィッシングできる

23 ：名無しさん＠１３周年：2015/03/17(火) 10:59:12.26 ID:lAUzpfyWj

めざましではさらっと報道しただけ

24 ：名無しさん＠１３周年：2015/03/17(火) 17:44:12.49 ID:lAUzpfyWj

TBSらが報道しないで危険なので

あげます

25 ：名無しさん＠１３周年：2015/03/17(火) 23:39:23.52 ID:lAUzpfyWj

TBS


隠蔽

26 ：名無しさん＠１３周年：2015/03/17(火) 23:53:16.30 ID:ztBW5Lq+y

これほど危険性が指摘され、社会問題を起こしているにも関わらず
使い続けるバカと規制しないバカの集まり。それが日本。

27 ：名無しさん＠１３周年：2015/03/18(水) 01:00:16.75 ID:jezVK3kbk

『割れ物のwin系osを使って開発したから』とかいう結論は、
ありそうなのかな?

28 ：名無しさん＠１３周年：2015/03/18(水) 13:11:13.90 ID:GVmmCZYqM

報道しませｎ

韓国の犯罪は隠蔽

29 ：名無しさん＠１３周年：2015/03/18(水) 15:22:59.32 ID:0HD27sGJT

韓国国情院（KCIA）に傍受されていることが分かっているLINEなんて使ってるのは情弱だけ

30 ：名無しさん＠１３周年：2015/03/19(木) 01:41:56.85 ID:01/nFWMOY

セキュリティガバガバルートキットnProの開発元だろ？さもありなんだわ。LINE使ってる情弱は早いとこ目を醒ますべき。

31 ：名無しさん＠１３周年：2015/03/19(木) 02:05:26.43 ID:BkXjg6MQd

それに近いことは最初から言われてるやん

32 ：名無しさん＠１３周年：2015/03/19(木) 02:06:29.14 ID:BkXjg6MQd

>>26
それだけ外資や産業スパイが力を持ってしまったてことを深刻に考えるべき

33 ：名無しさん＠１３周年：2015/03/19(木) 02:11:09.82 ID:G+OK6uB6t

脆弱性の有無にかかわらず、
LINEは中韓に筒抜けだけどな。

34 ：名無しさん＠１３周年：2015/03/19(木) 02:14:57.74 ID:EOCSYgOEI

筒抜けだからつかわない

危なすぎ

35 ：名無しさん＠１３周年：2015/03/19(木) 02:18:36.20 ID:G+OK6uB6t

企業や官庁でLINE使っている奴はバカ。
情報垂れ流し。

36 ：名無しさん＠１３周年：2015/03/19(木) 02:20:47.38 ID:ClGxEprl+

>>12

37 ：名無しさん＠１３周年：2015/03/19(木) 14:10:32.12 ID:EOCSYgOEI

マスゴミが隠してるのであげときます

危険

38 ：名無しさん＠１３周年：2015/03/19(木) 23:08:51.42 ID:EOCSYgOEI

なんどでも注意します

あｒTBSまた隠蔽？

39 ：名無しさん＠１３周年：2015/03/20(金) 00:27:24.38 ID:fylEI4Swg

未だ食べている奴がいるのか、

腹壊すぞ。