裏2ちゃんねるまとめ 当サイトについてTwitter
トップ > ニュース速報

携帯アプリLINEに内容を盗み取られる脆弱性が発見される



1: ◆CHURa/Os2M@ちゅら猫φ ★ 2015/03/16(月) 16:17:32.81 ID:???
★「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
Cyber Incident Report 3月16日(月)10時55分配信

全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が
存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに
保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、
改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。
利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。

この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』
発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)
に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部について
サーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と
「マン・イン・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。
これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマート
フォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版に
アップデートされていなければ現在も危険な状態だ)。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)
が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者が
アクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、
写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、
LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けて
いたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の
様々な処理を実行できる仕様になっていたためだ。

想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に
偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどから
インターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行
させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者の
LINEデータが攻撃者のサーバーに送信される。

もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に
不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正な
プログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。
名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上
必須だが、LINEにはそこに漏れがあった。

今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこない
とも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が
分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ
相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていない
アプリやサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側の自衛には
限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から
利用者を守るための様々な対策が求められる。

http://headlines.yahoo.co.jp/hl?a=20150316-00010000-cyberir-sci


2: 名無しさん@13周年 2015/03/16(月) 16:19:01.62 ID:aXS8YNKHB
Traveling circus

4: 名無しさん@13周年 2015/03/16(月) 16:47:49.60 ID:49mGkzC8f
危険です

すべて

盗みとまれてます

6: 名無しさん@13周年 2015/03/16(月) 16:50:51.01 ID:v7jPIZODs
わ・ざ・と

9: 名無しさん@13周年 2015/03/16(月) 17:05:59.38 ID:pCIkbVZwh
もうメールでいいよw

12: 名無しさん@13周年 2015/03/16(月) 17:55:15.01 ID:+Yd4WsJre
使ってるのって中高生が多いんでしょ
そしたらもっと具体的に分かりやすく起こり得る被害の例を挙げて説明しないと危機感は伝わらないんじゃないかな

15: 名無しさん@13周年 2015/03/16(月) 19:45:32.54 ID:1D2Ri1G2m
脆弱性じゃなくて仕様です



カテゴリ: ニュース速報
タグ: ,


この記事へのコメント


コメントの投稿

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。



人気タグ
話題のまとめ
相互リンク

2chnavi

2chNode

2chアンテナ

2chファインダー

VIPあんてな

あるあるダイエット速報

アルパカ通信速報

アンテナシェア

オカルトまとめ

おまとめ

ギコあんてな

喜怒楽速報

速報にゅ~す

しぃアンテナ(*゚ー゚)

旅TIME

でっちでち速報

とれまが

人気ブログランキング

はげちゃった速報

日々の面白まとめ

ひまちゅーぶ

暇つぶ速報

ブログ王

ブログの殿堂

まとめてニュース

マユゲット

萌えオタいんぷれっしょん!

ワニアンテナ


上へ

下へ