【ネット】「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり

1: 2chまとめは使うな ◆/20SEI/yo/8G 20世 ★ 2015/03/16(月) 15:22:16.14 ???*.net
Cyber Incident Repo… March 16 2015 07:45 「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり http://csi.sproutgroup.co.jp/archives/000077.html … editor of sprout 全世界で5億人以上が利用しているメッセージ・…「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この 脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストな どを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リ リースしている。利用者は自身の…が最新版にアップデートされているかどうかを至急確認したほうがいいだろう。 この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月 30日にソフトウェア等の脆弱性…を取り扱うIPA(独立行政法人…処理推進機構)に報告したものだ。IPAから2月2日 に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプ リケーション側の抜本対策が完了したとしている。 LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン・ザ・ミドル(中間者)」 と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。これらの脆弱性は、LINEがインストールされている「iPhone」や 「Android」搭載の主要なスマートフォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版に アップデートされていなければ現在も危険な状態だ)。 この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(J…aScript)が実行され、攻撃者が内 部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なことだ。対象と なるデータは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証…、プロファイル…、位置…に及ぶ。つ まり、LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けていたことを意味する。 影響がここまで広範囲に渡ったのは、攻撃者がJ…aScriptを使って内部の様々な処理を実行できる仕様になっていたためだ。 想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポ イントを設置し、そこに不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛 けて不正なプログラム・コードを実行させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に 利用者のLINEデータが攻撃者のサーバーに送信される。 もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込 む手法だ。その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように利用者の LINEデータが攻撃者のサーバーに送られる。名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのは セキュリティ上必須だが、LINEにはそこに漏れがあった。 今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこないとも限らない。LINEに 限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が分からない公衆無線LANに接続しない、 SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ相手と繋がることを避ける、不審なリンク先に接続しない、重要な データは安全性が確認されていない…やサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側 の自衛には限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から利用者を守る ための様々な対策が求められる。

54: 名無しさん@1周年 2015/03/16(月) 15:31:20.52 ZEosL1Pc0.net
>>1 韓国が採算無視で開発したしね。LINE関連データに留まらない穴になるのは当初から知られてたかと

221: 名無しさん@1周年 2015/03/16(月) 15:57:44.02 88xiUwkJ0.net
>>1 え?知らなかったの?

251: 名無しさん@1周年 2015/03/16(月) 16:03:49.02 34Pb3l4m0.net
>>1 だってLINEだし

5: 名無しさん@1周年 2015/03/16(月) 15:24:00.05 LOSAe1aM0.net
仕様です。

12: 名無しさん@1周年 2015/03/16(月) 15:25:04.66 W52W+x+60.net
知ってた

17: 名無しさん@1周年 2015/03/16(月) 15:25:43.60 t76jBeqY0.net
そんなもんどのsnsも同じだろ

19: 名無しさん@1周年 2015/03/16(月) 15:26:21.48 c6TieYv00.net
バックドアというか仕様だな 分かってて利用してるから問題ない

22: 名無しさん@1周年 2015/03/16(月) 15:26:48.40 OtPf++qm0.net
今どきLINEなんてやってる奴いるのかww どんな情弱だよ

24: 名無しさん@1周年 2015/03/16(月) 15:26:56.56 daRmr4PC0.net
< `∀´> ウリたちにはわずかの非もないニタ゛!

28: 名無しさん@1周年 2015/03/16(月) 15:28:02.36 vPB8AVOeO.net
仕様に決まってますニダ

37: 名無しさん@1周年 2015/03/16(月) 15:28:41.08 Lr5WUD410.net
知ってたわ

39: 名無しさん@1周年 2015/03/16(月) 15:29:08.15 Oj+9OVHN0.net
○ バックドア × 脆弱性

49: 名無しさん@1周年 2015/03/16(月) 15:30:30.41 oV8YifB+0.net
愛子さまも使ってらっしゃるらしいけど、会話つつぬけかw

59: 名無しさん@1周年 2015/03/16(月) 15:32:00.23 Avu1X6x40.net
755アンインストールした

71: 名無しさん@1周年 2015/03/16(月) 15:33:32.62 o7MmFMhZ0.net
XSS対策をやってないコードをプロダクトとしてリリースする企業姿勢

72: 名無しさん@1周年 2015/03/16(月) 15:33:39.87 CZRnJKin0.net
一回登録して辞めたのはどうなの? よくライン送ったんだけど…とか言われるからまだ名前は残ってるってことは、その当時のデータは渡ってるってことだよね?

79: 名無しさん@1周年 2015/03/16(月) 15:35:32.70 6KuEr5ot0.net
LINEをやっていないかどうかは相手を判断するときの重要ポイントの1つだからな。

84: 名無しさん@1周年 2015/03/16(月) 15:36:00.12 MXkN8qBo0.net
無料で使える意味を 少しは考えろ

90: 名無しさん@1周年 2015/03/16(月) 15:37:07.83 u1aofXds0.net
LINEってガキしかやってないから問題ないだろw

93: 名無しさん@1周年 2015/03/16(月) 15:37:48.46 Cbt0D/tc0.net
なにを今更 それをわかってて使ってるんだろ 韓国人の作ったもんだぜ

94: 名無しさん@1周年 2015/03/16(月) 15:37:50.02 Avu1X6x40.net
LINEに登録するも、やり取りする相手がいなくて退会した奴が一言↓

100: 名無しさん@1周年 2015/03/16(月) 15:39:00.53 oaXD2rmX0.net
え? ライン使ってるやつはそれを承知で使ってるんだろ? おれは嫌だから使ってないよ

108: 名無しさん@1周年 2015/03/16(月) 15:39:46.25 PnGzXpll0.net
何を今さら

110: 名無しさん@1周年 2015/03/16(月) 15:40:10.32 6T0IcPcv0.net
CIAは相手のスマホをハックして盗聴器にしてると スノーデンがばらしてた。 メルケルが被害者の代表例w

120: 名無しさん@1周年 2015/03/16(月) 15:41:02.21 ttnuU7B10.net
個人で使うのはいいんじゃない、マークされるような重要人物でないし。会社、国レベルはやめたほうがいいと思うけど

124: 名無しさん@1周年 2015/03/16(月) 15:41:46.43 UqhbQuwg0.net
知ってた

129: 名無しさん@1周年 2015/03/16(月) 15:41:56.06 H2qDpsq+0.net
別にかまわん

130: 名無しさん@1周年 2015/03/16(月) 15:42:11.63 EONhtXMNO.net
ラインが上場しないわけだな 年末前から上層部はこの事知ってたろ 上場してから対策前にこのネタ流出してたらどうなってたか見たかったな

140: 名無しさん@1周年 2015/03/16(月) 15:43:33.30 lDZrlZQU0.net
ばーかばーか

154: 名無しさん@1周年 2015/03/16(月) 15:45:52.43 WoztgHet0.net
今まで LINEを開発したのは韓国人指導のもと日本人が作った。 韓国人マンセー これから LINEを開発したのは実質日本人で上司が韓国人というだけ。 これだから日本人は・・・

158: 名無しさん@1周年 2015/03/16(月) 15:46:11.09 80ptAAVr0.net
脆弱性とバックドアを一緒にするなにd・・・です

161: 名無しさん@1周年 2015/03/16(月) 15:47:17.01 qTQiqvzN0.net
LINEを使ってる人間の頭に脆弱性があるから問題ない

165: 名無しさん@1周年 2015/03/16(月) 15:47:59.14 fCHulcU50.net
今さらって感じだな

166: 名無しさん@1周年 2015/03/16(月) 15:47:59.44 1gvCFoXM0.net
とっくに知ってた

170: 名無しさん@1周年 2015/03/16(月) 15:48:09.73 TqSi4kgp0.net
SQLインジェクションってやつ?

179: 名無しさん@1周年 2015/03/16(月) 15:50:10.54 ySirWwf70.net
孫正義『日本人は犯罪者だ』 韓国人経営者は結局こんな脳内だから早めに潰しておいたほうがいい

189: 名無しさん@1周年 2015/03/16(月) 15:52:04.92 /PPt1akZ0.net
いいこともあった。 勝手に友達の所にハングルで判らない名前が出て来たが、 どうやら友人が日本人に成り済ましていたことが判明した。 ずっと日本人だと思っていたし、名字も普通だった。 怖くなって他の人に聞いたら「背乗り」と謎めいた単語だけ教えられた。 ネットで調べて今は理解しています。そいつは今、公務員目指しています。

191: 名無しさん@1周年 2015/03/16(月) 15:52:14.30 Sf/FmmbA0.net
内部のアドレス全部抜いてんだから 通話記録位簡単に抜けるだろ。 そもそも、仕事で使う携帯では使用禁止だろ?

193: (:゜Д゜)コロコロポエム7 ◆EFvlPnIYE33o 2015/03/16(月) 15:52:18.61 QP04GB670.net
(: ゜Д゜)最初は日本産かと思ってた テレビでさんざん宣伝するから まさか韓国産とは思わなかった

196: 名無しさん@1周年 2015/03/16(月) 15:53:21.47 rtdf9DZn0.net
まだ使ってる人や企業あんの?wwwww 使ってる人たちの危機意識と言うか、リスクマネジメントを疑うよwww 信用失うよwww

200: 名無しさん@1周年 2015/03/16(月) 15:53:54.34 Jo13gz7B0.net
ついに名古屋の東山線で 女性専用車終日化が強行されたね。 あんな便利な位置を昼間でも占拠されて すごく使いづらくなるよ。 終日化を求めたのは土木交通委員会にいる公明党議員。 この議員の立候補した地域で、 不自然な人口増加があったんだって。

230: 名無しさん@1周年 2015/03/16(月) 15:59:07.78 6T0IcPcv0.net
>>200 >不自然な人口増加 公明党議員ふやせば、人口減少問題は解決するなw 日本政府は人口増加政策のために 堂々と主張しなければならない。

206: 名無しさん@1周年 2015/03/16(月) 15:54:34.38 LvIi3C6c0.net
kowa

207: 名無しさん@1周年 2015/03/16(月) 15:55:07.70 scr70wcj0.net
危ないらしいよって教えてあげても 「いいのw」 とか言って使い続けてて、どうなってんの??っていつも思ってた

210: 名無しさん@1周年 2015/03/16(月) 15:55:44.57 P8lGX/3p0.net
腹減った めし 帰る ぐらいしか打ち込んでないから問題ない。

212: 名無しさん@1周年 2015/03/16(月) 15:56:46.98 y6XI3ZBy0.net
あのキャラのセンスの無さには泣ける

216: 名無しさん@1周年 2015/03/16(月) 15:57:09.90 GAXt+iuk0.net
何をいまさらw

224: 名無しさん@1周年 2015/03/16(月) 15:57:48.18 UsdpuMkf0.net
ネット使ってる段階で全て誰かに見られる可能性は大きいわけで 今更何を言ってんのって感じ

227: 名無しさん@1周年 2015/03/16(月) 15:58:10.93 RsYT6L6b0.net
今更何言ってんだよ

233: 名無しさん@1周年 2015/03/16(月) 15:59:17.57 dVKhRjG90.net
友達でラインすすめてくるけどこういう事件起きると やっぱやりたくないんだよなあ。

234: 名無しさん@1周年 2015/03/16(月) 15:59:25.90 C1IPN/600.net
普通知っているでしょ 自分は使ってないよ

237: 名無しさん@1周年 2015/03/16(月) 16:00:42.24 fCKlRpsH0.net
LINEってハメる相手探すツールじゃないの?

239: 名無しさん@1周年 2015/03/16(月) 16:00:43.93 BttE1kmy0.net
// / /知ってました! / ∧_∧____ / ∩ ´・д ) / // ヽ と )/ ￣￣￣￣￣

241: 名無しさん@1周年 2015/03/16(月) 16:00:59.23 0nWtMpB40.net
私、LINEで韓国の悪口しか書いてない。

261: 名無しさん@1周年 2015/03/16(月) 16:05:54.38 0DF35E/e0.net
知ってて使ってるけどな(笑)

263: 名無しさん@1周年 2015/03/16(月) 16:06:32.49 zgjC7KOp0.net
は?いまさら何言ってんの LINEの会話内容がダダ漏れなのは常識だろ 承知で使ってたんじゃないのか?

265: 名無しさん@1周年 2015/03/16(月) 16:06:36.67 Tcx+it8+0.net
わかってて使ってるんだよね

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1426486936/