1: 2015/03/16(月) 15:22:16.14 ID:???*.net
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。

この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマートフォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版にアップデートされていなければ現在も危険な状態だ)。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けていたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の様々な処理を実行できる仕様になっていたためだ。

想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者のLINEデータが攻撃者のサーバーに送信される。

もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上必須だが、LINEにはそこに漏れがあった。

「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
http://csi.sproutgroup.co.jp/archives/000077.html

14: 名無しさん@1周年 2015/03/16(月) 15:25:20.72 ID:rtdf9DZn0.net
出始めた当初から言われ続けてるよねwww

4: 名無しさん@1周年 2015/03/16(月) 15:23:45.99 ID:/03gJcA40.net
うん、知ってた

5: 名無しさん@1周年 2015/03/16(月) 15:24:00.05 ID:LOSAe1aM0.net
仕様です。

10: 名無しさん@1周年 2015/03/16(月) 15:24:52.16 ID:dD+thiVL0.net
周知の事実でしょ

15: 名無しさん@1周年 2015/03/16(月) 15:25:28.02 ID:spYGX8f40.net
最初から要件に入ってたんだろ

17: 名無しさん@1周年 2015/03/16(月) 15:25:43.60 ID:t76jBeqY0.net
そんなもんどのsnsも同じだろ

18: 名無しさん@1周年 2015/03/16(月) 15:25:49.43 ID:/ZAHYrhl0.net
それでも使い続けるのが今の日本人
今の日本人のアホさをナメるな

19: 名無しさん@1周年 2015/03/16(月) 15:26:21.48 ID:c6TieYv00.net
バックドアというか仕様だな
分かってて利用してるから問題ない

20: 名無しさん@1周年 2015/03/16(月) 15:26:31.53 ID:lVr5ksTp0.net
どうでもいい事しか書かないから別にって感じ

25: 名無しさん@1周年 2015/03/16(月) 15:27:21.77 ID:qjxKcjGA0.net
うちの会社使用禁止になったわ

36: 名無しさん@1周年 2015/03/16(月) 15:28:39.74 ID:j3eeSu300.net
あんだけ騒がれたシメジ使ってるやつもまだまだワンサカおるしな

41: 名無しさん@1周年 2015/03/16(月) 15:29:28.87 ID:14oewcPR0.net
うん、そうだよね
それを前提に当たり障りのないことにだけ使うべきアプリ

42: 名無しさん@1周年 2015/03/16(月) 15:29:34.07 ID:eHv0E7o50.net
ん?脆弱性じゃないぞ、最初から搭載されてたのさ

49: 名無しさん@1周年 2015/03/16(月) 15:30:30.41 ID:oV8YifB+0.net
愛子さまも使ってらっしゃるらしいけど、会話つつぬけかw

56: 名無しさん@1周年 2015/03/16(月) 15:31:22.66 ID:sw6rS1Ac0.net
トーク削除したわ
別にたいした事書いてないけど

66: 名無しさん@1周年 2015/03/16(月) 15:33:06.22 ID:Jt6PN/bT0.net
まぁ
お前らの情報が欲しいわけじゃないから・・・

74: 名無しさん@1周年 2015/03/16(月) 15:34:05.10 ID:p0douYaz0.net
ipod touchと偽facebookアカウントで利用するもんじゃないの?

84: 名無しさん@1周年 2015/03/16(月) 15:36:00.12 ID:MXkN8qBo0.net
無料で使える意味を
少しは考えろ

92: 名無しさん@1周年 2015/03/16(月) 15:37:45.92 ID:+jvfUJ0W0.net
内部からも抜き取られてるから今更気にすんなよ。

102: 名無しさん@1周年 2015/03/16(月) 15:39:16.81 ID:mGePb9RX0.net
そもそも漏れてまずいような会話をLINEでやらない

116: 名無しさん@1周年 2015/03/16(月) 15:40:48.83 ID:Lan/oTG20.net
ライントークする友達が居ない俺は勝ち組って事だな

129: 名無しさん@1周年 2015/03/16(月) 15:41:56.06 ID:H2qDpsq+0.net
別にかまわん

144: 名無しさん@1周年 2015/03/16(月) 15:44:25.15 ID:P/Oxys0s0.net
何言ってんだよ
あたりまえのことだろ

165: 名無しさん@1周年 2015/03/16(月) 15:47:59.14 ID:fCHulcU50.net
今さらって感じだな

186: 名無しさん@1周年 2015/03/16(月) 15:51:50.78 ID:I7TkBsAi0.net
それ脆弱性じゃなくて仕様だから

199: 名無しさん@1周年 2015/03/16(月) 15:53:33.01 ID:MCb2doHt0.net
デフォルトだろ

201: 名無しさん@1周年 2015/03/16(月) 15:54:01.71 ID:Bl6fT2Nt0.net
前から韓国政府が監視してると言ってただろ

207: 名無しさん@1周年 2015/03/16(月) 15:55:07.70 ID:scr70wcj0.net
危ないらしいよって教えてあげても
「いいのw」
とか言って使い続けてて、どうなってんの??っていつも思ってた

223: 名無しさん@1周年 2015/03/16(月) 15:57:47.39 ID:Kh77UhSI0.net
>>207
情弱主婦はそんな人が多いね
どうせ愚痴ばかりだろうから、そういう人にはちょうどいいツールだろう

210: 名無しさん@1周年 2015/03/16(月) 15:55:44.57 ID:P8lGX/3p0.net
腹減った
めし
帰る

ぐらいしか打ち込んでないから問題ない。

211: 名無しさん@1周年 2015/03/16(月) 15:56:23.36 ID:exdwvIiu0.net
SEやプログラマで、業務内容をlineでやり取りする人がいて正直閉口する。

225: 【東電 78.4 %】 2015/03/16(月) 15:57:52.48 ID:o1WqrYAK0.net
>>211
普段からPCに向き合ってる連中はどう考えてもSkypeの方が便利だろうに

224: 名無しさん@1周年 2015/03/16(月) 15:57:48.18 ID:UsdpuMkf0.net
ネット使ってる段階で全て誰かに見られる可能性は大きいわけで
今更何を言ってんのって感じ

226: 名無しさん@1周年 2015/03/16(月) 15:58:05.09 ID:ohHYvRMHO.net
テレビで、企業は業務のやり取りを紙ではなく、ラインで効率化しようってごり押ししてた時期が有ったな。

元スレ:http://ai.2ch.sc/test/read.cgi/newsplus/1426486936/