LINEのログイン時の認証に、PINコードが導入されることになりました。このPINコードには初期値があるのですが、これについてちょっと触れておきます。
目次
LINE PINコード
公式アナウンスによると、現在流行しているリスト型攻撃を用いた乗っ取りの対策として、PINコードが導入されます(導入は7/17 15:00からを予定)。
今回の乗っ取り行為の流行はメールアドレスとパスワードの組み合わせが大量にどこかのサービスから流出したのがきっかけで、そのサービスと同じパスワードをLINEに設定していた人が乗っ取られています。
なので、パスワードとは別の4桁の数字(PINコード)を新しく導入することで、メールアドレスとパスワードが分かっても、PINコードがわからないからログイン出来ない、という状況を作ろうとしています。
※ログイン認証時に利用する電話番号が変わる場合のみ、PINコードの入力が求められるため、一般的な通常の機種変では要求されない。パスワードは盗まれても、SMSを受信する能力は別物なので、PINコードは役割的に必要なし。
LINE PINコードには初期値がある
では、新しく作成されたPINコードをみんなが設定しないといけないのかというとそういうわけではなく、初期値が設定され、設定しないまま利用することもできるタイプになっています。
そんなのでいいの?と思うかもしれませんが、もちろん初期値が「0000」「1234」「9999」では、「メールアドレスとパスワード」を知っている人が、「0000」と入力するだけでPIN未設定の人のアカウントにログインできてしまうのですから、良くありません(パスワードを使いまわしていて、未だに変更していない人は、PINコードも未設定で使い続けそうだし)。
つまり、他の人が予想できない、もしくは少しでも予想しにくければ、たとえ初期値から変更してもらえなくても、それなりに効果があるというのが重要です(このあと、ダメそうな点を書くわけですが、それでもPINこーど導入前より、確実にログインされにくくなるはずです)。そして、もちろん本人はわかる必要があります。
LINE PINコードの初期値は電話番号の下4ケタ
じゃぁLINEはPINコードの初期値をどうするのかというと、初期値として電話番号の下4ケタを使うそうです。
とても小さい字で、注意書きが書かれています。
※事前にPINコードを設定せずに、違う電話番号の端末に機種変更した場合、旧端末の電話番号の下4桁がPINコードの代わりになります。 (引用元)
これだと、未設定の人でも、前回登録時の電話番号が思い出せればログインできますし、「メールアドレスとパスワード」だけしか知らない場合はログインできません。
電話番号って流出してないの?
ここからやっと本題なのですが、ここで疑問が残ります。
今、「メールアドレスとパスワード」がどこかから流出して、そのリストを使って、乗っ取り詐欺が発生しています。
しかし、「メールアドレスとパスワード」と共に、電話番号が流出していないかどうかは聞いたことがありません。
もし、電話番号も一緒に流出していたら、「下4ケタ」は、もはや「0000」と同じくらい突破しやすい初期値になってしまいます。
つまり、「PINコードを導入したのに、あんまり乗っ取りが減らなかったぞ?」なんてことになりかねません。
電話番号は流出していないと知っているからこの初期値にした?
というわけで、きっとLINEは、どこから流出したメールアドレスとパスワードなのかを把握していて、そのサービスの登録に電話番号が必要ではないことを把握しているのでしょう。
というのも、この対策はLINEの威信をかけたと言ってもよさそうな大きな乗っ取り対策で、この対策をしてもなお、被害が止まらないなんてことになったら大変なことになってしまうと考えられるからです。
どうやって流出元を調べたんだろう
流出元は、攻撃されているパスワードを見れば、きっとサービス名を含んだパスワードをたくさん見つけられるのでLINEなら特定できそうです。しかし、それをするためには当然パスワードを閲覧しないといけないですし。。。それか、被害を受けた人にいろいろ聞いて、そこから推定したとか?なんかこれも信用ならない感じがします。警察ならいろいろ制限が減るので、特定できそうですが、それを教えてもらえるのかはよくわかりません。
というわけで具体的な特定方法は知りませんが、きっと電話番号がアカウント情報に含まれていないサービスから流出していることは把握しているのでしょう。
でも、今後また流出した時にどうなるかはわからない(電話番号も流出するかも)
しかし、よくよく考えてみると、今回の流行の発端となった流出はまぁいいとしても、今後の流出では、メールアドレスとパスワードに加えて、電話番号も一緒に流出しないとは言い切れません。
つまり、PINコードの導入は、初期値として電話番号下4ケタを使うことにしていますが、たとえ仮に今回電話番号は一緒に流出していないのだとしても、今後電話番号も一緒に流出することがあれば、もともとパスワードを変更せず使い回し続けていた層がPINコードも初期値のまま使い続け、今回の大流行と同じように乗っ取られてしまうのでは?と考えられます。
とりあえず、今回どうだったかは、7/17を過ぎて少しして、乗っ取り側の対策がされるかどうかで判断できそうです。
PINコードで対策すると決めたなら、初期値はすごく良い
ここまでで述べた条件からして、みんながバラバラだけど思い出せる初期値は、電話番号を使うくらいしか思いつきません(Facebookで認証している人はどうなるんだろう)。
PINコード以外はなかったのか
となると、微妙なことになりかねないのは、初期値の決め方というより、PINコードを導入すると決めたこと由来なのですが、PINコードよりよい対策が思いつきません。
パスワードリセットはよくある方法ですが、LINEでパスワードリセットなんかしたらアカウントを失う人がかなりの割合出てきそうで、それがだいぶLINE運営側のリスクになりそうなんですよね。今回のPINコードは、そういう点で、アカウントを失う人はそれに比べたらだいぶ少なくて済むはずで。
メールでの2段階認証(もしくはパスワードを廃止する)も現状を見るとだいぶ。。。いや、でもPINこーどよりもしかすると良いかも・・・?
電話番号関連は、電話番号の変更や未設定もありえる前提なのでちょっとダメだし。
ちょっとこのあたりは難しいのでまぁいつかまた気が向いた時に考えてみます。