パスワードを忘れた? アカウント作成
11592270 story
スラッシュバック

スマートフォン版LINEアプリでPINコード設定が必須に 28

ストーリー by hylom
後手後手 部門より
headless 曰く、

LINEでは相次ぐ不正ログインへの対策の一つとして、7月にスマートフォン版アプリでのPINコード認証機能を追加しているが、9月22日からはPINコードの設定を必須にするそうだ(LINE公式ブログ)。

PINコードは電話番号の異なる別のスマートフォンからログインする際に使用する4桁の数字で、これまで設定は必須ではなかった。PINコード設定が必須となるのは、22日14時ごろから。順次適応するため、開始時間にはばらつきが生じるとのこと。PINコード設定はバージョン4.5.0以降のLINEアプリで対応しているので、バージョン4.5.0未満を使用している場合は最新版への更新が必要となる。なお、メールアドレスを設定していない場合、次バージョン(4.7.0)からPINコードの設定が必須になるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Printable is bad. (38668) on 2014年09月22日 15時08分 (#2680795)

     アカウント乗っ取り犯がPC版LINEからログインすることは、4桁の「認証番号」をスマートフォン版LINEに入力する手順が新たに加わった [official-blog.line.me]ことから、困難になりました。しかし、依然として、Genymotion などの Android エミュレータを利用してパソコンから Android 版の LINE を使う [smhn.info] ことができるので、今もなおパソコンから LINE の乗っ取りができる状況です。

     LINE の乗っ取りは、他社サービスから流出したと思われるメールアドレス・パスワード等を利用したリスト型攻撃 [official-blog.line.me]によって行われているようですので、PIN コードなんてセンスの無い実装ではなく、「友達認証」にすべきだと思います。普通のWebサービスには友達の電話番号は登録しませんので、FacebookなどのSNSが情報を漏えいさせない限りは、リスト型攻撃によるアカウントの乗っ取りは極めて困難になります。

     具体的には、次のような実装にすれば良いのではないでしょうか?

    アドレス帳を LINE サーバにアップロードする設定の場合
    新しい端末のアドレス帳に、LINE アカウントに既に存在する友達の電話番号と一致した電話番号が4つ以上存在している場合、友達認証に合格したと判定する。
    アドレス帳を LINE サーバにアップロードしない設定の場合 もしくは 上記をパスしない場合
    友達の電話番号もしくは LINE ID を入力させ、LINE アカウントに既に存在する友達の情報と4つ以上が一致したら、友達認証に合格したと判定する。
    友達が10人以下の場合
    相対的にアカウント盗用時のリスクが少ないので、友達の電話番号情報1つの一致と、旧端末の電話番号の入力で代用できるものとする。
    友達が1人も居ない場合、もしくは公式アカウントのみの場合
    「友達認証」はフリーパス

    --

     文章で書くと複雑に見えますが、殆どのスマホユーザーは新しい端末にアドレス帳を移行するし、アドレス帳をLINEサーバにアップロードする設定にしているので、何もしなくても友達認証が自動的に完了するでしょう。

     蛇足ですが、友達の電話番号の一致を4つ以上としたのは、他社サービスから「自宅電話番号」「勤務先電話番号」「送付先電話番号」などが漏えいする可能性があり、それらがアドレス帳に登録されている可能性があるからです。また、PIN コードにセンスが無い理由としては、普段使わないのでユーザーが忘れてしまう可能性が高いこと、および銀行のキャッシュカードやクレジットカードの暗証番号と同一のものを設定するユーザーが現れ、LINE のサーバから PINコードが漏えいした際に非常に迷惑だからです。

    • by Anonymous Coward on 2014年09月22日 22時14分 (#2680995)

      電話帳に0x0-xxxx-xxxxの番号を全て登録してしまえば、この条件は満たされてしまいますね。

      最近、「電話番号による追加」という表示で勝手に友だち登録されるスパムアカウントが増えているように感じますが、このようなことをしているのではないでしょうか。

      親コメント
    • by Anonymous Coward on 2014年09月23日 4時45分 (#2681095)
      「お前バカだろ」とか「愚かしい」みたいなモデレートが欲しくなるな
      親コメント
    • by Anonymous Coward

      なるほど、アドレス帳をアップロードする理由付けに、今回のアカウント乗っ取りを利用するわけですね。
      ふざけるな。

      • by Anonymous Coward

        大体の情弱は本体と同じPINコードにするよね・・・。
        この韓国企業が全乗っ取りじゃん。

        • by Anonymous Coward
          「韓国企業である=乗っ取りの危険性がある」なら、どんな対策しても同じでしょ。
          対策する(実施もしくは承認)のはその「韓国企業」なんだもの。
          そういう考えの人はLINE使わないこと。心の健康を害するよ。
    • by Anonymous Coward
      >普通のWebサービスには友達の電話番号は登録しませんので、FacebookなどのSNSが情報を漏えいさせない限りは、リスト型攻撃によるアカウントの乗っ取りは極めて困難になります。

      って、笑うところですか?
      LINEの話ですよね?
    • by Anonymous Coward

      道連れ増やす良いアイデア

      詐欺師大歓喜

    • by Anonymous Coward

      文体から察するにネタじゃなくてガチで提案してるっぽいな。
      大丈夫かこの人。

      • by Anonymous Coward
        パスワードのような文字列をIDとして運用してパスワードは4ケタ数字程度でリバースブルートフォース(だけは)防げるからOKとか言ってた奴なのでお察し。
    • by Anonymous Coward

      >、PIN コードなんてセンスの無い実装ではなく
      うん

      >「友達認証」にすべきだと思います
      う…ん

      >普通のWebサービスには友達の電話番号は登録しませんので
      うん?

  • by Anonymous Coward on 2014年09月22日 19時51分 (#2680938)

    PINコード認証にリトライ制限がないが無いため、何度でも攻撃ができるという指摘がありました。
    【LINE】「乗っ取り対策『PINコード』にリトライ制限が無い」を検証→PINコードを何度間違えてもパスワードが無効化されない [did2memo.net]

    • その昔、会社の勤労関係サービスで「PINコード」の設定をしてくれと言われてよくわからず。
      サービス部門に「PIN」って何?と問い合わせしたら「数字のパスワード」とのこと。
      「んじゃパスワードでええやん」というと、「しゃあないやろ、導入時に担当SEからそう言えって言われてんねん」とのこと。
      けっきょく、何が違うのかわからず・・・今に至る。

      気になってその後調べたら "Personal Identity Number" の略らしいのはわかった。

      みんな略号好きだからね。

      • by Anonymous Coward

        wordって言ったら数字だけとは限らなくなるだろ

  • by Anonymous Coward on 2014年09月22日 16時52分 (#2680839)

    はっきりいってこの2つが余計すぎる。これがなけりゃまだマシだったのに
    最近、定期的に「ウェブストアにログインできませんでした」通知がきて困る。

    端末と結びつきが強いアプリのくせに変に別の入り口を作ったもんだから対応しきれてないよね、これ
    LINEはさっさとウェブストアとPC版クライアントを廃止したほうがいい

    • by Anonymous Coward

      なんでですか?やりとりするのにスマホスリスリしないといけないなんて不便じゃないですか

  • by Anonymous Coward on 2014年09月22日 15時40分 (#2680805)

    以前からそうですがLINE社の対応は嫌々やってるような消極的な印象を受けます
    ひとまずこうしておけばしばらくは方々から文句言われないだろう(問題が解決するとは言ってない)と言った感じで
    事の重大性を理解してないのか理解したくないのか

    • by Anonymous Coward

      裏で金受け取ってるんでしょ

    • by Anonymous Coward

      法人と見るから違和感を感じるのであって犯罪マフィアとして解釈すればすんなり理解できる

    • by Anonymous Coward

      斜陽だからね。
      通信各社の通話定額導入で、メリットを示せなくなってる。
      学生中心のブームってのも進学就職での利用層消滅っていうリスクが大きい。

      • by Anonymous Coward

        何言ってんだと思った。
        あんなクソ高い料金払ってまで通話定額なんて誰が好き好んでやるんだよ。
        実際通話定額強制したドコモだけiPhone6余ってるし。

        • by Anonymous Coward

          俺も通話定額は結構だが強制は止めろと思うが、回線握ってんのは向こうだからな。

          少なくともパケ代は段階上限の従量制・低利用で安価になる流れだ。IPフォンなんて生き残らない。
          Wimaxも2は定額じゃないし、ほんと途方に暮れるわ。

    • by Anonymous Coward

      なんで二段階認証入れないのか疑問だよなあ
      使うのは電話番号変えた時だけだし
      多少手間なシステムにしても実害はないと思うのだけれど

      • by Anonymous Coward

        二段階認証は一般人にとって難しすぎる&めんどくさい、なんだろうと思う。

        実装したら、リテラシーの高い人なら積極的に導入するだろうけど、一般人はまずやらない。
        そして、アカウントを盗まれるのはだいたい後者。

        PINとかは一般層のリテラシーにはちょうどいいんだよ、きっと。

        • by nemui4 (20313) on 2014年09月24日 12時02分 (#2681658) 日記

          >二段階認証は一般人にとって難しすぎる&めんどくさい、なんだろうと思う。

          Step 1 :メッセージを受け取る携帯電話番号を登録する。
          Step 2 :ID/Passwoord認証後に、携帯電話で設定用コードを受け取り、端末に入力し承認する。

          一般的にはたぶんこういう手順だと思うけど、携帯でコード受け取ってそれを入力の部分が難しいのかな。

          >PINとかは一般層のリテラシーにはちょうどいいんだよ、きっと。

          PIN設定も手間としてはそうかわらない気がしてしまう。

          Step 1 : PINコードを自分で設定
          Step 2 : ID/Password 認証後に、 暗記しておいたPINコードを入力して認証確認。
          (実際には使ってないので違ってたらすまんです)

          結局本来のID/パスワードに追加で数桁の数字暗証番号を追加するような感じなのかな。

          自分で決めるのがPINコードで、その都度システム側が発行して使い捨てるのが二段階認証としたら、
          後者の方が若干強度高そうに思えるけどほとんど似たようなもんすかね。
          でも、普段使わない端末から無理やり入ろうとしてたら警告や連絡が来るので二段階認証の方がわりと安心だと思ってる。

          親コメント
    • by Anonymous Coward

      お子様以外はなんだかきむ・・・気持ち悪いと言う理解だけで十分

  • by Anonymous Coward on 2014年09月22日 20時07分 (#2680944)

    はじめゆるゆるあときゅっきゅ

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...