急増するアカウントの乗っ取り対策にLINEはPINコードを義務化しました。
【LINE】急増しているLINE乗っ取り。対応しておきたいセキュリティ設定4つ | スマホで困ったときのQ&Aサイト
各所では「LINEがセキュリティを強化」と紹介されましたが、実際これどのくらい効果あるかは、あまり踏み込んで書かれてない気がします。
PINコードがLINEアプリに登場したのは7月。義務化されたのが9月です。
7月以降も乗っ取りが相次いだため、今まで任意の設定だったものが必須化されました。
義務化でセキュリティ向上の正体は、これまで未設定だったユーザーが、設定していたユーザーのセキュリティレベルに追いついたであると言えます。
こうなると問題はPINコードがセキュリティ対策として、どの程度効果あるかです。効果ないものを義務化しても0に0を掛けるようなものですから。
数字4桁ってどうなの?
PINコード義務化。しかし設定は数字4桁と聞き、当初から組み合わせが少なすぎると懸念する声がありました。
数字4桁ということは10×10×10×10で1万通りしかありません。人間が手入力するのは大変ですが、専用のシステム組みマシンパワーで攻撃すればすぐです。
本当であればパスコードの類いは長く複雑な組み合わせできることが望ましいです。しかし、何らかの事情でそうしたことができない場合、総当たり攻撃(ブルートフォースアタック)を防ぐため、一定回数パスコードを間違えたらロックが掛かり、リセットされる仕様にします。
多くのサービスは、そうやって利便性とセキュリティを両立させようとしています。
LINEは総当たり攻撃対策を「セキュリティに関わるため」として非公表にしています。
LINE、乗っ取りまだ終わらず–「PIN コード」でもダメ?ユーザーはできるかぎり自衛を – インターネットコム(外部サイト)
既に試したユーザーの報告では一定回数間違えるとロック掛かるが、1時間で解除される上にパスワードのリセットもないそうです。
数字4桁という、セキュリティ対策としては効果に疑問ある設定でありながら、総当たり攻撃も想定してないとしたら存在自体に疑問が浮かびます。
2段階認証とは違うの?
LINEのPINコードをGoogleやFacebookの2段階認証と同じようなものと考えている人もいます。両者は別物です。
大きな違いは2段階認証のコードは、使っている利用者本人にも分からないことです。
2段階認証では、パスコードはSMSで受信するかGoogle認証システムアプリを使い、都度に受け取ります。
またコードは30秒ごとに破棄されるため、なんらかの方法で漏れたとしても、悪用される前に無効化します。
こうやって貼っても悪意ある人間が見たときには使えないコードになっています。
数字4桁をユーザーに設定させるPINコードでは、有り触れた組み合わせになる可能性が高く、再設定しない限り同じコードで固定されるため繰り返し攻撃されます。
LINEは0000などのゾロ目は禁止するなどしていますが、決定的な対策ではありません。
LINEもSMSを使った2段階認証しないの?
これは難しいと思います。
LINEは誰でも簡単に使えるを売りに成長したサービスなので、自ら利点を捨てるのは非常に勇気が要ります。
SMSを使った2段階認証はセキュリティを向上させますが、馴染みのない利用者には不便になった、面倒になったと感じる人が必ず出てきます。
またLINEはFacebook認証を介することでMVNOなど電話番号を持たない端末でも利用できます。電話番号なければSMSは送れません。
電話番号登録を必須にすれば可能ですが、そうすると今度は電話番号を登録したくないユーザーから不満が出るのは避けられません。
Google認証アプリを必須にする方法も同じような理由でやりたくないと考えているでしょう。
結論は?
無いよりはマシです。
過信できるものではありませんし、セキュリティが向上したと宣伝することで「もう大丈夫」と変に安心する人も生みそうですが、自衛手段が1つよりは2つのほうがいいかなと思います。
もっと本気で決定的な対策を打ち出して欲しいなとは感じますが。
