--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2014.06.30 23:08|カテゴリ:Security

「パスコードを設定」ではLINE乗っ取りは防げない! 永江一石さんのエントリには賛成できません


 本日、永江一石さんのブログエントリで疑問を感じ、直接Twitterで疑問を投げさせていただいたのですが、途中私の誤解もあり、なかなか意図が伝わらなかったのでブログにて整理をさせていただこうかと思います。

 きっかけとなったのは、永江一石さんの2014年6月30日のエントリ。

【緊急】LINE乗っ取り多発中。いますぐパスコードを設定せよ!! | More Access! More Fun!
他のサービスからメルアドとパスワードが流出したのが売られているんだろう。LINEのアカウントが乗っ取られ、友人に一斉配信で「プリペイドカードを買って送ってくれ」というメッセージが送られる。


 この乗っ取り事件は私のブログでも6月13日に取り上げています。

LINEで「Web Moneyを買うのを手伝って」と言われたらその相手は乗っ取られているかもしれない : I believe in technology
ここ数日、友人からLINEを通じて「Web Moneyのプリペイドカードを買うのを手伝ってもらえますか?」というメッセージを受けたという方が増えているようです。


 このようなLINEによるなりすましが行われているので気をつけましょうという注意喚起は私と同じなのですが、気になったのはこの記述。



で、こういう乗っ取りを防ぐのは、もちろんサービスごとにIDとパスワードを変えれば良い。が、実際にはそれ、自分には無理。もちろん数種類は変えているが、すべて違うのはちょっと無理。FacebookやGoogleには2段階認証を設定しているが、LINEのメインユーザーはほぼ全てのスマホユーザーだから、コードジェネレーターによる2段階認証の設定は敷居が高いんだろうなと思います。

でも、乗っ取られたら不安だ!!という方にオススメが「パスコードの設定」です
【緊急】LINE乗っ取り多発中。いますぐパスコードを設定せよ!! | More Access! More Fun!

 

 この説明の後に「パスコードロック」の説明が続きます。これではまるで他で流出したパスワードを用いた乗っ取りを「パスコードロック」で防げるかのように読めます。

 しかし、この「乗っ取られたら不安だ!!という方にオススメ」としているパスコードロックは、今多発している乗っ取りの防止には役に立ちそうもありません。

 というのも、パスコードロックはそのアプリの起動時に事前に設定したパスコードを入力しないとアプリを使うことができないというだけの機能だからです。


 他の端末からのログインはいっさい防げません。


 現在、多発している不正ログインはその当人の端末を直接操作して行われているものではありません。

 PC用のログイン機能を悪用し、他で流出した「アカウントとパスワード」の組み合わせを一つづつ試すといういわゆるパスワードリスト型攻撃を使っているものと類推されます。この攻撃では、「ログインに失敗すれば次の組み合わせを試す」、「ログインに成功した組み合わせは記録しておく」といったように選別を繰り返していき、「ログインに成功した組み合わせ」を不正ログインに使用します。

 攻撃者は「ログインに成功した組み合わせ」を用いて、デスクトップアプリもしくは自作のツールを用いて不正ログインし、そのアカウントの友人たちに前述のような「Web Moneyのプリペイドカードを買うのを手伝ってもらえますか?」というメッセージを送りつけます。

 これは「パスコードロック」では防げません。

 永江一石さんは以下のように続けています。


やや面倒くさいが、これなら仮にIDとパスワードが盗まれても相手は使えないから他にいってくれます。何回か失敗したらロックされると思うけどね。ロックされたら通知が来るかまでは試してません。
【緊急】LINE乗っ取り多発中。いますぐパスコードを設定せよ!! | More Access! More Fun!



 「IDとパスワードが盗まれても相手は使えないから」というのはあくまでも端末を直接操作した場合のみです。


何回か失敗したらロックされると思うけどね。ロックされたら通知が来るかまでは試してません。



 この一文で通知が来るとしているのはご自分の端末のことですよね?つまり、他の端末からのログインを想定していらっしゃる。この場合、「パスコードロック」では一切守れません。

 
 私が敢えて永江さんのブログエントリを取り上げて指摘しているのは、何も揚げ足を取ろうとしているわけではありません。

 あのエントリを読んだ一部の方が、「パスコードロックを掛けておけばパスワードを使いまわしても大丈夫」といった誤解を招きかねないからです。永江さんクラスになるとその影響力の大きさから誤解する方が決して少なくないことが予想されます。ましてや【緊急】と書いてあると不安が増しかねません。

 実際、本日のエントリに対しすでにTwitter上で以下のようなコメントをしていらっしゃる方を何人か見かけました。









 
 この方々が、「パスコードロック設定したからパスワード使いまわしても大丈夫」と誤解しないといいのですが……。

 その一方で、はてブには冷静なコメントをしている方もいらっしゃいます。やはりおかしいと感じる方は他にもいらっしゃるようで。


 永江さんもデスクトップ版では関係ない模様と書いていらっしゃいます。


デスクトップ版はどうなるのか!!試したけど、デスクトップ版では関係無い模様・・。ということはメルアドとパスワード盗まれて、パソコンからやられたら意味なし・・・
【緊急】LINE乗っ取り多発中。いますぐパスコードを設定せよ!! | More Access! More Fun!



 「ということはメルアドとパスワード盗まれて、パソコンからやられたら意味なし・・・」とありますが、LINEに対する攻撃はそもそもスマートフォンから行われているわけではありません。おそらくこの点を誤解されているのでしょう。前述のようにスマホではなく、PC向けのログイン機能(デスクトップ版のソフトウェアとは限りません)を利用してパスワードリスト型攻撃をしています。そのため、どんなにスマホ上で「パスコードロック」してもLINEに対するパスワードリスト型攻撃には役に立たないのです。


 むろん、アプリの「パスコードロック」は直接操作をされないよう設定するのが望ましいです。また、端末自身にも「パスコードロック」があるでしょうから、そちらも合わせてセットすれば(もちろん異なるパスコードで)二重に守ることができます。

 しかし、だからといってサービスごとにIDとパスワードを変えなくていいわけではありません。


で、こういう乗っ取りを防ぐのは、もちろんサービスごとにIDとパスワードを変えれば良い。が、実際にはそれ、自分には無理。もちろん数種類は変えているが、すべて違うのはちょっと無理。
【緊急】LINE乗っ取り多発中。いますぐパスコードを設定せよ!! | More Access! More Fun!



 永江さん同様、「サービスごとにIDとパスワードを変えるのは無理」と考える方もいらっしゃると思いますが、それでも、現在のところ他に回避方法はないのです。

 もちろん、これだけサービスが増えると覚えるのはどんなに記憶能力が高い方でも不可能に近いでしょう。

 これは私の方法ですが、私は基本的に覚えれるような単純なパスワードを付けていませんし、使い回しもしていないので、覚えることはしていません。

 その代わりに、PC、スマートフォンでデータを共用できるKeePassXというアプリケーションを使っています。

KeePassX



 KeePassXはAESという現時点では強固な暗号アルゴリズムが使われている、ソースが公開されている、WindowsでもMacでもスマートフォンでも使えるというメリットがあります。起動時に表示されるマスターパスワードを一つだけ覚えておけば、複数のパスワードを安全に管理することができます。

 ただし、KeePassXには異なるデバイス間でのオンライン自動同期機能はありません。もし、オンライン自動同期が必要でしたら「1Password」や「mSecure」のようなアプリを使うといいでしょう。(私はオンライン同期は信用しませんが。)

1Password App

カテゴリ: 仕事効率化

価格: ¥1,800


1Password App

カテゴリ: 仕事効率化

価格: ¥5,000


mSecure App

カテゴリ: 仕事効率化

価格: ¥1,000


mSecure - Password Manager App

カテゴリ: 仕事効率化

価格: ¥2,000


 もちろんこれらのアプリを使用していても、マスターパスワードが破られるとすべてのパスワードが無防備になりますから、マスターパスワードの管理は厳重に行う必要があります。それでも覚えておくパスワードは一つだけで済みます。

 残念ながら、他のサイトで流出したパスワードが他のサイトで悪用されるケースが多発しているのが実情です。簡単な対策が示されると、ついそれに飛びついてしまいがちですが、その対策が本当に効果があるものなのかをきちんと見極めるようにしましょう。

 現在のところ面倒ですが、「パスワードの使い回しをしない」ことが重要です。

2014年7月1日12:30追記
本件でTwitterでやりとりさせていただいた黒翼猫さんがパスコードロックの別の問題点を指摘されています。ぜひご覧ください。

LINEのアカウント乗っ取りに対する対策がひどすぎると話題に : 黒翼猫のコンピュータ日記 2nd Edition
ところが、この詐欺の対策としてパスコードの設定を薦めている有名ブログがあるのですが、そのパスコードロックの仕様が、あまりにもひどすぎるのです。




2014年7月1日12:45追記
同じく昨日本件でやりとりさせていただいたjun1masuさんもエントリを公開されました。jun1masuさんにもLINEでなりすました人物からメッセージが来たのですが、そのやりとりが面白いです。また今回のなりすましに有効な「他端末ログイン許可」設定についても書いてあるので、ぜひ御覧ください。

LINE IDの乗っ取りには気をつけよう
PCサイトからの攻撃であれば、LINEの設定で、「他端末ログイン許可」をOFFにすれば防げそうな気がします




2014年7月2日18:40追記
TwitterのDMでご連絡いただきました。やはり同じように感じた方が他にもいらっしゃるんですね。また、こちらもLINEの「他端末ログイン許可」について書いてありますのでぜひ御覧ください。

LINEでとりあえず確認しておいた方がいいと思う設定 (iOS) - @kimamanote
パスワードの使い回しをしないのはもちろんですし、パスコードも設定した方がいいでしょう。
ですが、この↓記事の通りそれだけでは防げません。






関連記事


目からうろこ!時代に逆行するIDやパスワードをまとめるメモブック「ACCOUNT and PASSWORD BOOK」 : I believe in technology
単純なパスワードでは破られてしまうかもしれないので複雑なパスワードにしなければなりません。しかし、複雑にすればするほど覚えにくくなってしまう……。そんなとき、だれでも一度は考えるのがパスワードをメモに取ること。しかし、そのメモが万が一他人の目に触れたら……。なりすましなど悪用されてしまう危険性があります。そのため、企業などではパスワードをメモに取ることを禁止していたりします。今回ご紹介するのはそんな時代に逆行するようなこちらの商品!

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。