LINEのPINコード強制は有効な対策か?

引用:LINE公式ブログ

LINEのPINコード設定が強制化されるようになりました。これはLINE詐欺、つまりLINEアカウント乗っ取りが後を断たないからです。この対策の有効性とともにアカウント乗っ取り自体について考える。

最近発生しているLINEへの不正ログイン(乗っ取り)の被害拡大を防ぐため、9月22日午後2時頃より、スマートフォン版LINEアプリにて、PINコードの設定が必須になります。

出典:【重要】不正ログイン(乗っ取り)の被害拡大を防ぐため、PINコードの設定を必須にします

さる9月22日にLINEがそれまで任意であったPINコードを必須とし、LINEのメッセージを常に使用している(最初に登録した携帯電話番号の)スマホやケータイ以外から送る場合、あらかじめ届け出た4桁の暗証番号を入力しない限り、メッセージを送れないように設定しました。合わせて、安全なPINコードを作成するように注意しています。安全なPINコードとは、1111や1234、それに生年月日や住所、電話番号の一部等、推測され易い数字列以外の数字列です。

このPINコードの強制は、最近特に問題となっているLINEアカウントを乗っ取って、本人に成り済まし、その友人らに電子マネーを送るように依頼し、搾取する詐欺への対策です。その根本はLINEのアカウントの乗っ取り、つまりIDとパスワードの乗っ取りです。IDはほとんどの場合、日頃使うメールアドレスと同じです。一般にはメールアドレスを収集するのは容易なのです。その証拠に迷惑メールが今だに数多くの人に届く事が上げられます。これは生きている、つまり実際に使われているメールアドレスのリストが流布しているのです。問題はパスワードです。パスワードを手に入れるのはメールアドレスほど容易では有りません。しかし、パスワードリスト攻撃と言って、かつて漏洩したIDとパスワードのリストが日本国内対象だけでも数千万件以上あるのです。この漏洩したIDとパスワードを、様々なサービス、特にLINEでも使っていれば、先ほどの流布しているメールアドレスリストとパスワードリストを組み合わせれば容易にLINEを乗っ取る事が出来るのです。

この方法によって恐らく、数十万以上のLINEアカウントが乗っ取られる候補、つまりパスワードが漏れている事になります。数十万というのは大げさな数字ではありません。現在、国内で6,000万人以上の人がLINEに登録しています。恐らく、日頃利用しているメールアドレスで登録し、そのメールアドレス自体が漏れている人は1割、つまり600万人前後でしょう。さらにその中でパスワードを使い回し、そのパスワードが一度でも漏れた事のある人は少なくとも1割ぐらいいると考えられます。つまり、60万人ぐらいのアカウントが容易に乗っ取られる可能性があるのです。現在は、その一部が実際に乗っ取られ、今回話題になっている被害、あるいは被害未遂になっているのです。

そのLINEアカウント乗っ取りの対策としては、上に書いた乗っ取りの連鎖を断ち切る事、第一はパスワードリスト攻撃の無効化です。LINEのパスワードを他のパスワードと異なる唯一のパスワードに設定することです。このことは三ヶ月以上も前からLINEで注意、およびパスワード変更を呼びかけています。しかし、その呼びかけに応じてパスワード変更を行った人は数割に満たないようです。つまり50万人ぐらいのアカウントは被害候補となり、実際に被害は増加の一途をたどっています。そしてその次に出された対策がPINコードの強制化です。

強制化がおこなわれる2ヶ月前の7月に任意でPINコードが設定できる仕様を公開し、アカウントの乗っ取りに対する対策としてその利用を推奨しました。LINEで人気のスタンプの「おまけ」まで付けて推奨しましたが、必ずしも多くの人が利用しなかったようです。その第一の理由は「面倒である」ことです。面倒というのは、設定する事自体が面倒であるということと、設定したとしても、PC や他のスマホ等で利用する際に常にPINコードを入力しなければならないという2種類の面倒です。LINEでは、その対策が必ずしも進まず、さらに被害も減少しないことから、PINコードの強制化に踏み切りました。

では、PINコードの強制化によって、LINアカウントの乗っ取りと言う問題は解決できるでしょうか。答えは否定的と言わざる得ません。なぜでしょうか。それは上に書いたLINE利用者の「面倒である」ことです。PINコードはパスワードではありません。暗証番号なのです。単に個人を区別するだけの番号であり、それゆえ4桁なのです。注意深く設定すべきパスワードでさえ、現在でも推測可能な簡単なパスワードを付ける人が少なくない現在、暗証番号で、まったくランダムな番号を付けるとは思えません。LINEのウェッブで、1111のようなぞろ目や1234や9876のような連続な数字を与えないように書いてますが、それ以外の覚え易い、あるいは入力し易い1212や3366のような番号にする人が多発するでしょう。利用者のセキュリティ意識というものは決して高くなく、それを期待する事は不可能なのです。今までのLINEアカウント乗っ取り候補である50万人のうち、少なく見積もっても10万人ぐらいはPINコードも自明な数字列になってしまうのです。

今まで比較的容易にLINEアカウントを乗っ取って詐欺を働いていた犯罪者は、容易ではなくなったかもしれませんが、やはり少し努力をすればLINEアカウントを乗っ取る事が可能になり、詐欺を働く事になるのです。

改めて、LINEアカウントが乗っ取られる事のないようにするための対策です。まず第一に、パスワードを他のサービスと異なったパスワードとし、推測し難い無意味な英数字列とする事、次にPINコードを適当な4桁の数字に設定することです。PINコードだけで、LINEアカウントの乗っ取りが防げるわけではありませんので、勘違いしないように。