Sony
Sony
個人情報の宝庫LINEは本当に安全?メッセージアプリを使う際に気を付けるポイントについて解説

トピックス 2021.08.13 個人情報の宝庫LINEは本当に安全?メッセージアプリを使う際に気を付けるポイントについて解説

2021年3月17日、政府機関でも使用していたLINEの個人情報が、同社の委託先の中国企業からアクセス可能な状態にあったことが判明しています。

このような状況では個人情報だけでなく、LINEの会話内容なども外部に漏れている可能性が捨てきれません。

LINEでは仕事の機密情報などのやり取りもするでしょうし、LINE Payを通じて、その人がどんな物をどこで買ったか、ということも分かってしまいます。

LINEに限らず、FacebookメッセンジャーやGmailなどのメッセージアプリを使用する時には、セキュリティの面から何に気を付ければ良いのでしょうか?

この記事では、LINEを入口にメッセージアプリの安全性について考えていきましょう。

LINEの情報漏えいに代表されるメッセージアプリのセキュリティホール

LINEの情報漏えいに代表されるメッセージアプリのセキュリティホール

2021年3月17日に、LINEの個人情報が同社の委託先の中国企業からアクセス可能な状態にあったと複数のメディアで報じられました。

LINEも同日にプレスリリースを公表し、国内ユーザーの個人情報の一部について海外の拠点で扱っていることを認め、説明が不十分だったと釈明しました。

LINEの公表した情報によると、委託先の中国拠点で開発やモニタリングなどの業務をしていて、開発にあたってモニタリング対象となったユーザーの個人情報にアクセスできる権限が付与されていたとのこと。

また、その権限は既に削除済みとのことです。

「LINE社におけるグローバルなデータガバナンス」

LINEを傘下に持つ新Zホールディングスは3月19日、「LINE社におけるグローバルなデータガバナンス」を検証・評価する特別委員会を設置することを発表し、データガバナンスの検証や評価をしていくとしました。

しかしながら、この状態を重く見た日本政府は、総務省でLINEを使用した行政サービスを停止するなどの措置を講じています。

情報漏えいに対するLINEでのセキュリティ対策

情報漏えいに対するLINEでのセキュリティ対策

それでは、LINEを使用する際にはどのようなセキュリティ対策をとれば良いのでしょうか。残念ながら、サービス側のセキュリティ対策はLINEに任せざるを得ません。

しかし、ユーザー側でできるセキュリティ対策もありますので、その内容を見ていきましょう。

二段階認証を設定する

LINEでは、ログイン時のパスワードの他に、下記場面で二段階認証を設定できます。

● 電話番号が異なる端末へのアカウント引継ぎ
● PC版・iPad版LINEへの初回ログイン

二段階認証を設定することでセキュリティ強度を確実に上げられますので、必ず実施しましょう。

通知のメッセージ内容非表示

LINEは通常、メッセージを着信すると通知欄にメッセージの最初の数文字を表示してくれます。ただし、この設定のままでは思わぬ情報漏えいに繋がる場合もあるので、必ず通知のメッセージ内容は非表示にしましょう。

友だち以外のメッセージを受け取らない

LINEではプライバシー管理の項目から、友だち以外のメッセージ受信を拒否できます。第三者からの不正なメッセージ受信をこれで拒否できるため、思わぬ情報漏えいのリスクを軽減できます。

Letter Sealingを使う

Letter Sealing(レターシーリング)は、他のユーザーとやり取りするメッセージなどを暗号化する仕組みです。連絡を取りたいユーザー同士がお互いにLetter Sealingの機能を使用していれば、メッセージなどは暗号化されます。詳細な仕組みは後述します。

メッセージアプリは情報漏えいのリスクと隣り合わせ

メッセージアプリは情報漏えいのリスクと隣り合わせ

今回紹介したLINEの事例のように、サービス事業者からユーザーの情報が漏えいしてしまう例は後を絶ちません。

サービス側のセキュリティはサービス事業者自身が対策するしかなく、ユーザーではどうすることもできないのが事実です。

ただし前述した通り、ユーザー側でも設定の変更などで可能な限りの対策を実施し、メッセージアプリ使用にあたってのセキュリティリスクを軽減させられる方法はあります。

メッセージアプリで気を付けるべきポイント

メッセージアプリで気を付けるべきポイント

昨今では、複数のメッセージアプリが事業者からリリースされていますが、メッセージアプリの使用にあたって共通的に気を付けるべきポイントは4点あります。それぞれ見ていきましょう。

サーバーに残るメッセージ履歴

LINEをはじめとした代表的なメッセージアプリは、メッセージをサーバー側に残しておくことができますが、情報漏えいが発生した際には、これらのメッセージ履歴も一緒に漏えいしてしまう可能性があります。

緊急事態時に無条件の情報開示が法律で求められている国もあり、自社の機密情報が流出してしまえば、他国に利用されかねません。

メッセージアプリはチャット形式での一時的なやりとりが多いため、無駄なメッセージ履歴は残さないものがおすすめです。

サーバー側にメッセージ履歴が残っていなければ、情報漏えいや情報開示の際にも外部に漏れるメッセージはありません。

メッセージ履歴をサーバーに残さないメッセージアプリの「Signal」について、説明している記事がありますので、ぜひご覧ください。

メッセージアプリのセキュリティ、考えたことありますか?|セキュリティ通信

ユーザーデータの事業活動利用

ユーザーデータの事業活動利用

メッセージアプリによっては、ユーザーデータをマーケティング活動に利用するなどの記載が利用規約にあります。

メッセージ内容だけではなく、電話番号やその他のユーザーデータが不正な使われ方をされないように利用規約を確認し、どのようにデータが利用されるのかを把握しておくことは必須です。

具体的には、クレジットカードと連携している中小のオンラインショッピングサイトなどが挙げられます。

ログインしてから買いたいものを買い物カゴに入れて、購入画面に進んでいくと決済方法を選びますよね。

そこでクレジットカード支払いにすると2~3回くらい画面が遷移して、元々ショッピングしていたサイトとは異なるサイトで決済手続きをするということがよくあります。

この時に、元のショッピングサイトから入力したデータが守られてきちんと遷移できていれば良いのですが、遷移する間のサイトで「https」を使っていない可能性があり、同様の危険性があります。

このような危険性があることを認識し、VPNなどを上手に用いて対策を行うことで、安全にフリーWi-Fiを利用することができるわけです。

高度な認証技術の導入有無

クラウドサービスの利用増加により、「ゼロトラスト」と呼ばれる考え方が広まってきています。ゼロトラストとは、すべての通信を信頼せず、厳密な検証を行うという考え方で、最初にアメリカの調査企業であるForrester Researchのアナリストによって紹介されました。

ゼロトラストを実現する仕組みの中に、「多要素認証」と呼ばれるものがあります。多要素認証とは、複数の要素による認証を実施する考え方で、その要素は下記の3種類です。

● パスワードやPINなど、ユーザーのみが知っている「知識情報」
● キャッシュカードや身分証、ワンタイムパスワードなど、ユーザーのみが持っている「所持情報」
● 指紋や静脈、顔など、ユーザー自身の「存在情報」

高度な認証技術の導入有無

これら3種類の要素を2つ以上組み合わせてログイン時の認証を実施することで、なりすましや不正ログインのセキュリティリスクを軽減できます。

メッセージ通信の暗号化

例えば、SMS(ショートメッセージサービス)でのテキストメッセージ通信は暗号化されていません。SMSは古いデジタル通信形式の1つで、 最初にSMSテキストが送信されたのは1992年です。

SMSは暗号化されていないため、携帯電話会社や政府が内容を確認できるだけでなく、攻撃者による盗聴のリスクが大きいと言えます。加えて、メッセージの受信者をフィッシングサイトへと誘導する、スミッシング攻撃の標的にもなります。

メッセージ通信の暗号化

盗聴やスミッシング攻撃などのサイバー攻撃のリスクを軽減するため、メッセージの送信にあたって、通信の暗号化は重要です。

前述した通り、LINEにもメッセージ通信の暗号化機能としてLetter Sealingがあり、この機能を使えばユーザー同士のメッセージは暗号化されます。

Facebookでも、2019年3月に「A Privacy-Focused Vision for Social Networking(プライバシー重視のソーシャルネットワーキングビジョン)」と題した投稿で、ユーザー同士のメッセージを暗号化する仕組みを導入していくと発表しています。

しかしながら、メッセージを暗号化されると緊急事態時に政府がメッセージ内容を閲覧できなくなってしまうため、こうしたメッセージ通信の暗号化の動きに対して反発している国もあります。

メッセージ通信の暗号化の仕組み

メッセージ通信の暗号化の仕組み

メッセージ通信で暗号化を用いる際には、各ユーザーの端末で暗号化を実施します。この暗号化手段は、エンドツーエンドの暗号化(End-to-end encryption:E2EE)と呼ばれます。

LINEのLetter SealingもE2EEを採用しており、以下の内容が暗号化の対象です。

● テキストメッセージ(CLOVA/YouTube/音声検索・操作機能など、他のサービスを通したメッセージは除く)
● 位置情報
● 1:1音声・ビデオ通話

メッセージ送信者と受信者で、お互いにLetter Sealingをオンに設定すると、暗号化したやりとりができます。

Letter Sealingは「キーフィンガープリント」とよばれる暗号化の仕組みを採用し、各ユーザーに固有の暗号キーを割り振ることで暗号化を実施しています。

このキーフィンガープリントを使うことで、メッセージなどを暗号化し、安全な通信が実現可能です。

終わりに

メッセージアプリからの情報漏えいリスクを減少させることが重要

2021年3月17日、LINEの個人情報が、同社の委託先の中国企業からアクセス可能な状態にあったことが判明しています。

こうしたサービス側のセキュリティ対策は、サービス事業者自身で対策するしかありませんが、ユーザーも設定の変更などで可能な限りセキュリティ対策を実施し、メッセージアプリからの情報漏えいリスクを減少させることが重要です。

セキュリティ対策の内容には、サーバーには極力メッセージを残さない、メッセージの暗号化ができるメッセージアプリを選ぶなどがあります。

気を付けるポイントを押さえ、セキュリティリスクの少ない状態でメッセージアプリを使用していきましょう。

【参考リンク】 

・LINEの個人情報問題に政府が敏感に反応した理由(CNET Japan)
https://japan.cnet.com/article/35168122/

・ゼロトラスト・セキュリティ(Akamai JP)
https://www.akamai.com/jp/ja/solutions/security/zero-trust-security-model.jsp

・SMSの使用を中止すべき理由とは(ヒューレット・パッカード)
https://h41369.www4.hp.com/taw/article/JP/JA/TAW_002300

・The Best Encrypted Messaging Apps You Should Use Today [Updated 2019](Heimdal Security)
https://heimdalsecurity.com/blog/the-best-encrypted-messaging-apps/

TEXT:セキュリティ通信 編集部
PHOTO:iStock

Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをクリック。 Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをタップ。
tag

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ

たいせつにしますプライバシー 10470001

is 571190 / ISO 27001:2013

© Sony Network Communications Inc.