ニュース 2021.09.26 LINE、2要素認証をスキップさせる脆弱性が見つかる
メッセンジャーアプリ「LINE」にQRコードでログインする場合、2要素認証として、本人確認用の認証コードであるPINコード(Personal Identification Number)の入力が必要になる。
PINコードは、PCやスマートフォン、タブレットなどの端末と直接紐づいている点で、パスワードよりも安全だといわれている。さらに、認証コードは端末に保存されるため、サーバー経由で窃取される心配もないのも利点だ。
仮に、何らかの理由でPINコードが外部に漏れたとしても、端末そのものが盗まれない限りは、遠隔からの不正ログインに利用されることもない。
ところが、9月10日、LINEは、LINEアプリのQRコードログインにおいて、このPINコードの入力を回避する脆弱性が存在していたことが判明したと発表した。
日本以外の国では、不正ログイン被害も発生しているという。
LINEのQRコードログイン、PINコードスキップは2019年11月から1年半以上
発表によれば、この脆弱性が発見されたのは、Windows、Mac、iPad、Google Chrome向けのLINEアプリ。
脆弱性が悪用され、PINコードの確認無しで、サイバー攻撃者が不正にログインすることが可能な状態になっていた期間は、2019年11月25日から2021年7月9日までの1年半以上。
流出した可能性のあるコンテンツは、不正ログインの2週間前からログアウトするまでの間の「トーク」「LINEの友だち・グループ・トークリスト」「ユーザーの投稿前のタイムライン」「ユーザーの「Keep」上のコンテンツ」など。
被害件数は、判明しているだけで556件にのぼるという。
この脆弱性は、2021年7月7日に修正され、8月2日には、被害にあったユーザーへのお詫びの通知が出されている。
【関連リンク】
・LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も(Security NEXT)
https://www.security-next.com/129817
TEXT:セキュリティ通信 編集部
PHOTO:iStock