おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
LINEのQRコードログインで脆弱性があり、本来必要な2要素認証のPINコード入力なしでログインができてしまっていたようです。
修正は2021年7月9日時点で完了しているようですが、
プレスリリースが2021年9月10日となっており、
と疑問を感じています。
今回の脆弱性は
- アプリ版LINE(スマホ利用はこっち)には影響なし
- 日本では被害ユーザは確認されていない
- 何らかの方法でQRコードのURLを被害者にクリックさせる必要がある
とのことですので、対象は限定的ではありますが、2019年から脆弱性があったとのことですので、脆弱性を修正したタイミングでプレスリリース出すべきでは?と思います。
脆弱性の概要ならびに、プレスリリースから読み取れる情報を紹介していきます。
LINE脆弱性の対応時系列
今回の脆弱性は2019年11月25日から発覚していない脆弱性があり、2021年7月3日に「LINE Security Bug Bounty Program」を通じて脆弱性に対する報告がなされたようです。
対応時系列は下記の通りです。
| 2019年11月25日 | 脆弱性の不正利用確認日(アクセスログから解析?) |
|---|---|
| 2021年7月3日 | 「LINE Security Bug Bounty Program」で脆弱性の報告あり |
| 2021年7月6日 | 報告された脆弱性の存在を確認 |
| 2021年7月7日 | 脆弱性を修正 |
| 2021年7月9日 | 脆弱性により攻撃を受けた不正ログインを無効化 |
| 2021年8月2日 | 不正ログインされたユーザに個別のお詫び |
| 2021年9月10日 | プレスリリース |
2021年7月3日に脆弱性が報告されてから、脆弱性の修正までは非常にスピーディーですね。
どうやって確認したのかは不明ですが、不正ログインの影響も2019年11月25日から利用されたことが分かっているようです。
7月9日に不正ログインされてしまったユーザの締め出しを行ってから、8月2日の詫びメールまで1か月、詫びメールからプレスリリースまで1か月、この対応の遅さは一体・・・という感じです。
脆弱性の影響内容
ユーザ数と国
今回の脆弱性を受けたユーザ数は「556件」で、内訳は
- インドネシア:466件
- タイ:11件
- その他:79件
で、日本ユーザーの被害は確認されていないようです。
漏洩内容
以下のような情報が盗み見られた可能性があります。
- 不正ログインが成功する2週間前からのログアウトするまでのトーク内容
- LINE上の友達・グループ・トークリスト
- 公開していないタイムライン投稿
- Keepに保存したコンテンツ
不正ログインされてしまっているので、ほぼほぼ見られてしまっているという感じです。
恐ろしいのは、「不正ログインしてからログアウトするまで」のトーク内容が見られている部分です。
日本では被害がなかったと報告されているので安心ですけど、LINEの対応には安心していません。
QRコードログインについて
最後にアプリ版LINEしか利用したことない人向けに、パソコン版でのQRコードログインをご紹介しておきます。
①パソコン版LINEを起動すると、QRコードログインという画面があるので、
②アプリ版LINEの「トーク」の検索の赤い枠からカメラを起動しパソコン版LINEのQRコードを読み取ります。
③アプリ版LINEで下記の「ログインしますか?」という画面に遷移するので、「ログイン」を選択すると、
④パソコン版LINEで認証コードが出てくるので、
⑤アプリ版LINEでパソコン版LINEに表示されているコードを入力すると、パソコン版LINEにログインできます。
今回の脆弱性では、本来表示されるはずの④~⑤の処理がスキップされて不正にログインできてしまったようです。
まとめ
今回パソコン版LINEでのQRコードログインに脆弱性があり、
- 攻撃者が被害者にQRコードのURLを送付
- 被害者がURLをクリックして、ログインを押す
- 本来は本人確認のPINコードを要求されるが、脆弱性でスキップ
- 被害者のLINEに不正アクセス
という状況でした。
- 日本では被害ユーザーはいない
とのことですが、
- 脆弱性発覚からプレスリリースまで2か月かかった
- 脆弱性発覚から被害のあったユーザへの通知に2か月かかった
という状況からも、ちょっと対応遅すぎではないかなと個人的には思います。
LINEはいまやインフラ並みにアプリ利用が広がってしまっているところもあり、もう少し安心感のある対応をしてほしいですね。
日本は被害がなかったので解散!
しかし、対応は少しイケてないですね。
ではでは
