パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スマートフォン版LINEアプリでPINコード設定が必須に」記事へのコメント

  • by Printable is bad. (38668) on 2014年09月22日 15時08分 (#2680795)

     アカウント乗っ取り犯がPC版LINEからログインすることは、4桁の「認証番号」をスマートフォン版LINEに入力する手順が新たに加わった [official-blog.line.me]ことから、困難になりました。しかし、依然として、Genymotion などの Android エミュレータを利用してパソコンから Android 版の LINE を使う [smhn.info] ことができるので、今もなおパソコンから LINE の乗っ取りができる状況です。

     LINE の乗っ取りは、他社サービスから流出したと思われるメールアドレス・パスワード等を利用したリスト型攻撃 [official-blog.line.me]によって行われているようですので、PIN コードなんてセンスの無い実装ではなく、「友達認証」にすべきだと思います。普通のWebサービスには友達の電話番号は登録しませんので、FacebookなどのSNSが情報を漏えいさせない限りは、リスト型攻撃によるアカウントの乗っ取りは極めて困難になります。

     具体的には、次のような実装にすれば良いのではないでしょうか?

    アドレス帳を LINE サーバにアップロードする設定の場合
    新しい端末のアドレス帳に、LINE アカウントに既に存在する友達の電話番号と一致した電話番号が4つ以上存在している場合、友達認証に合格したと判定する。
    アドレス帳を LINE サーバにアップロードしない設定の場合 もしくは 上記をパスしない場合
    友達の電話番号もしくは LINE ID を入力させ、LINE アカウントに既に存在する友達の情報と4つ以上が一致したら、友達認証に合格したと判定する。
    友達が10人以下の場合
    相対的にアカウント盗用時のリスクが少ないので、友達の電話番号情報1つの一致と、旧端末の電話番号の入力で代用できるものとする。
    友達が1人も居ない場合、もしくは公式アカウントのみの場合
    「友達認証」はフリーパス

    --

     文章で書くと複雑に見えますが、殆どのスマホユーザーは新しい端末にアドレス帳を移行するし、アドレス帳をLINEサーバにアップロードする設定にしているので、何もしなくても友達認証が自動的に完了するでしょう。

     蛇足ですが、友達の電話番号の一致を4つ以上としたのは、他社サービスから「自宅電話番号」「勤務先電話番号」「送付先電話番号」などが漏えいする可能性があり、それらがアドレス帳に登録されている可能性があるからです。また、PIN コードにセンスが無い理由としては、普段使わないのでユーザーが忘れてしまう可能性が高いこと、および銀行のキャッシュカードやクレジットカードの暗証番号と同一のものを設定するユーザーが現れ、LINE のサーバから PINコードが漏えいした際に非常に迷惑だからです。

    • by Anonymous Coward on 2014年09月22日 22時14分 (#2680995)

      電話帳に0x0-xxxx-xxxxの番号を全て登録してしまえば、この条件は満たされてしまいますね。

      最近、「電話番号による追加」という表示で勝手に友だち登録されるスパムアカウントが増えているように感じますが、このようなことをしているのではないでしょうか。

      親コメント
    • by Anonymous Coward on 2014年09月23日 4時45分 (#2681095)
      「お前バカだろ」とか「愚かしい」みたいなモデレートが欲しくなるな
      親コメント
    • by Anonymous Coward

      なるほど、アドレス帳をアップロードする理由付けに、今回のアカウント乗っ取りを利用するわけですね。
      ふざけるな。

      • by Anonymous Coward

        大体の情弱は本体と同じPINコードにするよね・・・。
        この韓国企業が全乗っ取りじゃん。

        • by Anonymous Coward
          「韓国企業である=乗っ取りの危険性がある」なら、どんな対策しても同じでしょ。
          対策する(実施もしくは承認)のはその「韓国企業」なんだもの。
          そういう考えの人はLINE使わないこと。心の健康を害するよ。
    • by Anonymous Coward
      >普通のWebサービスには友達の電話番号は登録しませんので、FacebookなどのSNSが情報を漏えいさせない限りは、リスト型攻撃によるアカウントの乗っ取りは極めて困難になります。

      って、笑うところですか?
      LINEの話ですよね?
    • by Anonymous Coward

      道連れ増やす良いアイデア

      詐欺師大歓喜

    • by Anonymous Coward

      文体から察するにネタじゃなくてガチで提案してるっぽいな。
      大丈夫かこの人。

      • by Anonymous Coward
        パスワードのような文字列をIDとして運用してパスワードは4ケタ数字程度でリバースブルートフォース(だけは)防げるからOKとか言ってた奴なのでお察し。
    • by Anonymous Coward

      >、PIN コードなんてセンスの無い実装ではなく
      うん

      >「友達認証」にすべきだと思います
      う…ん

      >普通のWebサービスには友達の電話番号は登録しませんので
      うん?

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...