パスワードを忘れた? アカウント作成
15426017 story
バグ

LINEのQRコードログインに脆弱性が見つかる。556件の被害が確認 23

ストーリー by nagazou
脆弱性 部門より
LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている(LINEリリース窓の杜)。

不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。

goldenslamber 曰く、

なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」

非技術的な残存リスクとは何を指すのだろう。

  • > ・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
    > ・被害者が、上記URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者が騙されて「ログイン」を押してしまう事で、攻撃者のデバイスにて不正ログインが成功する。この際、本来であれば、PINコードを用いた2要素認証が求められるところ、脆弱性によって本来実行されるべきPINコード確認の処理が省略された。

    QRコードを認証済みスマホで認識させれば、攻撃者のパソコン版LINEの認証が終わるみたいな感じか
    なんか親のサポートとかする分には便利そうな脆弱性だな

    っつーかつい先日Windows版LINEの画面に出たQRコード+娘の認証済みスマホでログインしたな
    これにPIN増えるってことなのか
    # ログイン処理したのは娘だからもうあったのかもしれんけど

    フツーにやってりゃだるいだけやな…

    ここに返信
  • 運営会社による虚偽の説明とかでしょうか、運営会社自体のリスク。

    LINE、日本政府に「虚偽説明」…データの保管場所、実際は「韓国サーバー」=韓国報道
    https://news.yahoo.co.jp/articles/48ee7228884aa5d217131afb073c30263458848a [yahoo.co.jp]

    ここに返信
    • by Anonymous Coward

      これ日本人や消費者団体や利用組織はどこもLINEを訴えてない時点で、みんなやる気ないんですよ
      アメリカならACLUやFCCが訴えてるでしょうに。

      • by Anonymous Coward on 2021年09月22日 15時08分 (#4117408)

        >これ日本人や消費者団体や利用組織はどこもLINEを訴えてない時点で、みんなやる気ないんですよ

        その「日本人~みんな」はLINEを使うような人達ですよね。
        その人達はそんなリスクは全く気にならないか何も知らないので問題は有りません。

      • by Anonymous Coward

        ネトウヨの方々ですらLINEは黙して愛用してるからね。
        シェア握ってしまえば日本ほど楽な市場はないのかも。

        • by Anonymous Coward

          使ってないぞ

        • by Anonymous Coward

          ですよねwwww
          ウヨクを気取りながらラチョンアカウント持ってるんだもんな
          ちゃんちゃらおかしいよなw

  • by Anonymous Coward on 2021年09月22日 15時04分 (#4117401)

    Oracleみたいなもん

    ここに返信
  • by Anonymous Coward on 2021年09月22日 13時51分 (#4117344)

    >フィッシングおよびソーシャルハッキングなどの悪用
    同じ文中にあるこれでしょ?
    PINが生年だとか、攻殻機動隊が好きだから2501だとか、もしくは「LINEです、パスワード教えてね、二段階認証も承認してけろりん」みたいなやつ。

    ここに返信
    • by Anonymous Coward

      これを非技術的と言ってるのであれば、セキュリティを完全に舐めきってる企業姿勢なんだろうね。
      「残存リスクの確認」って修正するとは言ってない所がなんとも救い難い。

    • by Anonymous Coward

      この例では「QRコードのURLを取り出して使わせる」ようなことを指してるんじゃないかな
      ソーシャルハッキングの一種な気がしないでもない

  • by Anonymous Coward on 2021年09月22日 16時11分 (#4117447)

    と言いたくなるぐらいLINGサイドの不祥事が多すぎる。
    対等合併してから不祥事をバンバンリークすることでLINEサイドの立場を落としているんjyないかと陰謀論を唱えたくなるぐらい。
    ※対等なはずなのにお詫び会見はLINE側しか出てこないしね

    ここに返信
    • by Anonymous Coward

      yahoo以前にLINE出た当初から電話帳とかやらかしてるやん。

  • by Anonymous Coward on 2021年09月22日 16時39分 (#4117467)

    > 再発防止策:
    > 従来より「LINE」の各機能リリース前に行うセキュリティ担当による脆弱性検査は実施しておりますが、本件事案で受けた攻撃内容を踏まえ、フィッシングおよびソーシャルハッキング※等の悪用による非技術的な残存リスクの確認を、より一層強化いたします。

    「本件事案で受けた攻撃内容」がソーシャルハッキング、つまり被害者にも過失があるかのようなミスリードをさせる文章ですね。

    本件は、CSRF脆弱性です。

    > 攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。

    そもそも、攻撃者が、被害者がアクセスして簡単な操作をするだけでログインできるURLを取得できる時点で誤り。
    少なくとも、URLにワンタイムなCSRFトークンを加えるべきでした(尤もURLは原則公開情報なのでそれが完璧な対策ではないですが利便性を優占する場合にはやむを得ない場合もあります)。

    ここに返信
  • by Anonymous Coward on 2021年09月23日 2時34分 (#4117829)

    Bot経由で使えるならと考えてたが、以下を読んで脱力した。

    Messaging APIリファレンス
    https://developers.line.biz/ja/reference/messaging-api/#get-content [line.biz]

      コンテンツを取得する

    ユーザーが送信した画像、動画、音声、およびファイルを取得するAPIです。
    テキストは取得できません
    ユーザーが送信したテキストを取得するAPIはありません。

    ここに返信
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...