「何してますか? 忙しいですか? 手伝ってもらってもいいですか?」——6月から急速に広がったLINEアカウント乗っ取りによる詐欺。都内だけで約2800万円に上る被害が発生したが、10月中旬以降は収まっている。運営側の対策が奏功した形だが、「もはやメールアドレスや電話番号は誰かの手に渡っていると思った方がいい」という時代に、ユーザー側の自衛も必要だ。LINEに終息までの経過と、ユーザーにできる対策を聞いた。
10月12日以降、被害報告なし
LINE乗っ取りが顕在化したのは6月中旬。LINEアカウントが何者かに乗っ取られ、このアカウントから友人へ「WebMoneyのプリペイドカードを買うのを手伝ってほしい」などとメッセージを送信し、金銭をだまし取ろうとする手法だ。
ネットでは呼びかけの言葉が定型文として広がり、画面の向こうと“大喜利”する人も表れる“ネタ”にもなったが、LINEという日常的なメッセージツールで家族や知人の名前で連絡が来る手口から、年代・世代を問わず被害が広がった。警視庁によると、10月末までに657件の相談や被害が寄せられ、そのうち電子マネーをだましとられたという被害は368件、総額約2800万円に上った。
10月12日以降、警視庁への被害報告はなく、LINEは乗っ取り問題は終息したとみている。
リスト型攻撃か
アカウント乗っ取りの直接的な原因は、ログインに必要なIDとパスワードを乗っ取り犯が何らかの方法で入手したためだ。LINEによると、同社のシステムから流出した形跡はないとしており、「何らかの形で流出したIDやメールアドレス、パスワードの組み合わせを総当り的に試していたようだ」(同社政策企画室の江口清貴室長)と、「リスト型攻撃」だった可能性が高いとみている。
リスト型攻撃は、入手した大量のIDとパスワードのリストを使い、ネットサービスなどに片っ端からログインを試みる不正アクセス手法。今年に入り、「niconico」や「mixi」「Ameba」など大手サービスへの不正ログインが相次いで発覚。ポイントを不正使用されるなどの被害も出た。
対策に携わった江口室長は「ログインが可能になるまでの手法やプロセスを特定して傾向をつかみ、今後考えられる手段も含め1つずつ犯行の穴をふさいでいったため、終息までに予想以上に思ったより時間がかかってしまった」と振り返る。
LINEの場合、犯人は集中的にメッセージを送る際、まずWebストアやPC用クライアントソフトから、乗っ取ろうとするアカウントにログインできるかどうかだけ確認しているケースが多いことが分かった。このため、他の端末からログインがあった場合は逐次ユーザーに通知する仕様に変更。また、ひんぱんに在住国外からのログインがある場合、端末切り替え(機種変更)の際にコールセンターへの連絡を必須にするなどの対策を加えた。
大きな効果があったのは、9月22日に実施した「PINコード」設定の必須化。電話番号の異なるスマートフォンでログインする場合に、ID・パスワードに加え4けたの暗証番号の入力を求め、ID・パスワードの不正使用だけではログインができないようにし、終息につながったという。
ユーザーに防止策周知
「LINEは複数の端末から同時にログインできないため、他人に乗っ取られていることを自覚しやすい。実は他のサービスやアプリでも不正ログインされているが被害者が気付いていないだけという可能性は十分にある」(江口室長)
リスト型攻撃は、同じID・パスワードを使って複数のサービスに手当たり次第に不正ログインを試みる手口。LINEに限らず、乗っ取りを防ぐにはユーザー側からも防止策を講じる必要がある。
江口室長は「個人が多数のアカウントを開設するのが当たり前の中、IDとパスワードだけでの個人認証には限界が来ているはいえ、グローバルに使える汎用的な次世代認証もなかなかないのが実情。まずはユーザーに今できる対策を周知するのが最優先」と話す。
パスワード変更など自衛策を
政策企画室 江口清貴室長「もはやメールアドレスや電話番号は必ず誰かの手に渡っていると思った方がいい。『自分は大丈夫』という意識が一番危険」(江口室長)——では手口が巧妙化する中、ユーザーはどう自衛すべきか。江口室長が挙げるのは3つのポイントだ。
まずは(1)推測されやすいパスワードを使わないこと。PINコード設定を必須化した後も乗っ取り被害を受けたユーザーはおり、調べたところ、生年月日や電話番号の下4ケタ、メールアドレスに含まれる数字など個人情報に関連する文字列や、「0000」「1234」といった安易な数字が使われていたという。
さらに(2)パスワードの変更。ログインIDとパスワードはセットで流出している可能性が高く、複数のサービスで同じIDとパスワードを使っている場合、流出したIDとパスワードで次々と不正アクセスされてしまうことになる。サービスごとに違うパスワードを設定するなど、流出しているかもしれないパスワードは使用せず、別のものに変更するよう勧めている。
(3)IDとして使うメールアドレスの使い分けも有効な手段の1つ。Gmailでは「エイリアス」、Yahoo!メールでは「セーフティアドレス」など、主要メールサービスのほとんどにはメインとなるメールアドレスを元に、複数のアドレスを設定して利用できる機能がある。サービスや用途ごとにIDとなるメールアドレスを使い分けることもリスト型攻撃には有効だ。
関連記事
- LINEに不正ログイン 被害規模は「調査中」
LINEにも不正ログイン。他社サービスと同じID、パスワードを使っているユーザーに対して、パスワード変更を呼びかけている。 - 「LINE」アカウントの乗っ取り、詐欺被害の報告相次ぐ
LINEユーザーのアカウントが乗っ取られ、振り込め詐欺のような被害にあったという報告が相次いでいるとしてLINEが注意呼び掛け。 ![「LINE」パスワード変更でスタンププレゼント 乗っ取り被害防止で]()
「LINE」パスワード変更でスタンププレゼント 乗っ取り被害防止で
「LINE」で、パスワードを変更したユーザーにオリジナルスタンプをプレゼントするキャンペーンが始まった。不正ログインによる乗っ取り被害防止策の一環。![PC版「LINE」に本人確認機能 「認証番号」で乗っ取り被害防止]()
PC版「LINE」に本人確認機能 「認証番号」で乗っ取り被害防止
LINEへの不正ログイン対策でPC版に本人確認機能が追加された。初回ログイン時、PC版に表示された4ケタの「認証番号」を、スマートフォン版LINEに入力する必要がある。![別のスマホからLINEログイン時は暗証番号が必要に 乗っ取り防止で]()
別のスマホからLINEログイン時は暗証番号が必要に 乗っ取り防止で
「LINE」の乗っ取り被害が相次いでいることを受け、電話番号が異なるスマートフォンからLINEにログインする際、新たに4ケタの暗証番号を求めるセキュリティ機能が17日に実装される。- LINE乗っ取り犯が「中国のLINE社員からアカウントを買った」? LINEは否定「中国に拠点ない」
「LINE乗っ取り犯が、中国のLINE社員から日本人のアカウント情報を買ったと証言した」と伝えられた件について、LINEは「弊社は中国に拠点がないので、そのようなことはない」と否定した。 - LINEで暗証番号設定が必須に 乗っ取り防止で
スマートフォン版「LINE」アプリで、ログイン時に4ケタの暗証番号「PINコード」を求めるセキュリティ機能の設定が必須になった。
「LINE」パスワード変更でスタンププレゼント 乗っ取り被害防止で
PC版「LINE」に本人確認機能 「認証番号」で乗っ取り被害防止
別のスマホからLINEログイン時は暗証番号が必要に 乗っ取り防止で関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.