「LINE電話」サービスで発番通知を偽装できる問題が明らかに 57
ストーリー by hylom
これはかなり致命的なのでは 部門より
これはかなり致命的なのでは 部門より
あるAnonymous Coward 曰く、
LINEが提供する有料電話サービス「LINE電話」が、17日よりサービスを開始した(ケータイWatch)。IP電話を利用し、通常の通話よりも安い料金で任意の固定電話や携帯電話に電話をかけられる点が特徴のサービスだが、このLINE電話で相手に通知される発信者番号を偽装できることが明らかになった。
「kanai6274's blog: LINE電話で発信者番号通知の偽装ができる件」でその方法が説明されているが、LINE電話ではLINEへの登録時に使用していた端末の電話番号が発信者の電話番号として使われるようになっている模様。具体的には、登録時にSMSで認証が行われるようになっており、これによって端末の電話番号とLINEアカウントの紐付けが行われる仕組みだ。
しかし、LINEアプリ側では端末に対してアカウントが紐付けされるようになっているため、LINEに登録したのちSIMカードを差し替えることで、その端末の電話番号とは異なる電話番号での発信が可能になるという仕組みだ。
これを悪用する方法としては、たとえば他人のSIMカードを一時的に拝借してLINEに登録する、ということが考えられる。SIMカードを返した後でもその電話番号での発話が可能となり、またSIMカードを拝借されたことに気付かなければ問題は発覚しにくい。
SIMを拝借する必要ないのでは (スコア:3, 参考になる)
ちょっと端末を机の上に置いてトイレに行った人の電話番号で登録し、ロック画面にポップアップする番号を入れればいいだけなのですから…
(プレビューがONになっていればパスコードがかかっていても出ますよね、たしか)
Re: (スコア:0)
「一時的に他人の○○を利用して」を言うなら何でも同じだと思う。
PINロックかけよう (スコア:3, すばらしい洞察)
他人にSIMカードを使われた時点で他にも色々な不正が可能だから、LINEだけの話ではない。
ちょっと違うかも (スコア:3)
この話って、発信者番号は操作できないという前提で、LINEを使うと操作できるってところですから、SMS認証とかSIMカードを使われるととかいうところは重要じゃないです。もっというと、電話番号が発信者IDとして使われて着信した段階で、それは全経路が(PSTNか、090/080か、070か、050かその他かはともかく)電話であり偽装しない保証であるはずで、それが崩されてるところが私は問題だと思います。
# 他人のSIMカードを使わずにLINEのSMS認証を通す方法ってないのかな
# SIMクローニング? SMSを途中で盗聴する?
Re:ちょっと違うかも (スコア:2)
GSMはできますよー
悪用シナリオ (スコア:1)
悪用じゃなくて利用してみるならば (スコア:1)
しかし、どの程度使いたい人がいるかも謎だし、LINEの規約などの問題はないのか、とかすっ飛ばしての話ですけど…
表)日々のアクセントに! 人生のスパイス「変わり種」!
裏)とり過ぎに注意してください。ネタまみれになります。
固定電話や他社携帯も巻き込むのか、迷惑だなぁ…… (スコア:0)
LINEからの(この方式の)通話自体を拒否する方法ってないのかな?
Re: (スコア:0)
「%表題%」ってなんですか?
Re: (スコア:0)
DOS, Windowsでの環境変数参照の記法です。
Re: (スコア:0)
なんつーか、ここはほんとにアレゲの雑談サイトなのか、って感じだな。
Dos/Windows使ってなくてもわかりそうなもんだろうに。
Re: (スコア:0)
知らんがな。DOS()とかでドヤ顔されてもなぁ…
Re: (スコア:0)
Re: (スコア:0)
ちゃんと囲うべきでは? ${表題}
Re: (スコア:0)
私も、それが何かバッチ変数っぽいことは一目でわかりましたけども
普通の文章にしれっと混ぜ込まれるにはあまりに不恰好すぎるので
(小並感)みたいな「どこぞで流行りだしたスラング」だろうと決め付けてしまいました…。
読み捨てずに質問された元コメの行動力に敬服します。
Re: (スコア:0)
それだと
%表題%とは迷惑至極。
↓
固定電話や他社携帯も巻き込むのか、迷惑だなぁ……とは迷惑至極。
となるので意味不明なんですが。
Re:固定電話や他社携帯も巻き込むのか、迷惑だなぁ…… (スコア:3, おもしろおかしい)
いや、明瞭でしょう。
こういうFUD記事は迷惑だってことです。
Re: (スコア:0)
Lineだけなの? (スコア:0)
発信者の番号って偽装できるものだと思ってたんだけど。
Re:Lineだけなの? (スコア:5, 興味深い)
Skypeも (スコア:3)
Skypeから一般の電話に発信出来るSkypeoutで行われる番号通知は、
一旦加入電話の番号の認証を行えば、その電話を解約してもそのまま使えます。
日本の電話番号が対応していない(できない?)理由はコレかなと思っていました。
Re:Skypeも (スコア:1)
Re:Lineだけなの? (スコア:1)
発番通知をイングレスフィルタリングできないんだろうか・・・
何が問題なのかわからない (スコア:0)
this is taitoru onry
Re:何が問題なのかわからない (スコア:1)
まぁ、同じアカウントから発信したのなら、端末が違おうがSIMが違おうが同じ番号になるのが普通のはず。
Re: (スコア:0)
それなら、050plusやfusion IP-Phone SMARTのように、LINEが自前で050番号の枠の割当を受けてそれを使えばいい。
少なくとも今の日本の電気通信の世界では、勝手に携帯電話事業者の番号を名乗らせるのはおかしいんじゃないかな。
国によっては問題ないとされてる所も多いので、このままでいいか悪いかという問題はともかくとして。
Re: (スコア:0)
FakerがAliceの電話番号を騙ってBobにLINEでの音声電話を掛けられる
Re:何が問題なのかわからない (スコア:5, おもしろおかしい)
Re: (スコア:0)
自分の番号からを装った脅迫電話を誰かがかけた場合、自分が誤認逮捕をされた上、
かように複雑な仕組みを正確に把握する能力に欠ける警察から自白を強要され、脅迫犯として投獄されかねない。
Re: (スコア:0)
メールのfromだって偽装できるやん。
メールは問題にならないのかな。
Re: (スコア:0)
レベルが違う。
メールは貰った側がその場で確認できる。
なりすましと擬装は似ているようで違う。
なりすまし:気をつければ見抜ける
擬装:疑う余地がない
Re: (スコア:0)
emailのFrom:変えるのも偽装って言わんか?
Re: (スコア:0)
メールのfromを変更されて、見抜ける人っているのかい。
ヘッダ見れても、経路によってはさっぱりわからなかったりするよね。
電子署名を使って、それで送信元の証明をしてもらわないと、誰が送ったかなんてわからないよね。
メールのfromなんて自称でしかないんだし。
でもそれにはお金がかかるから、皆自称で満足してるんだよね。
電話番号の偽装よりずっと簡単に偽装できるのに。
Re: (スコア:0)
「なりすまし」を見抜けるってことだよ。
逆に言えばオリジナルではないってこと。
逆引きドメイン不一致や何も関係ないサーバーから送られてくればほぼわかる。
そりゃ二個以上向うの本当の送り主を見抜くのは無理だよ。
Re: (スコア:0)
すごいなぁ。そんなことしてるんですか。
携帯でメールやり取りしてて、from以外で相手の判別なんてしたことないです。
電話番号のなりすましで「声聞けばわかるだろ」と同程度の判別方法にしか思えませんね。
Re: (スコア:0)
審査が甘くてSMSが使える格安SIMを大量購入。
LINE電話で格安SIMの電話番号を登録。
母さん助けて詐欺で使う。
という悪用があるかなと思いました。
Re: (スコア:0)
もっとカジュアルな話として (スコア:0)
電話番号は再利用されるものですので、
Aさんが手持ちの電話番号でLINEに登録した後に解約、
しばらくしてその電話番号はBさんが使うよう再利用された、
という場合に
AさんがLINE電話で発信したら
その時点でBさんが保有してる電話番号が通知されちゃうと思うのですが。
Re: (スコア:0)
出会いサイト系のアプリなのでその辺りは考慮しないのでしょう。
LINEだけじゃない (スコア:0)
フュージョンにも発番詐称するサービスありますよ。
http://www.fusioncom.co.jp/houjin/keitai_use/ [fusioncom.co.jp]
Re: (スコア:0)
そのサービスは、
「スマートフォン以外をご利用中の方も}
のところで特定番号を相手の電話番号のまえにつければいいだけ、
とあるように、
単に通信事業者を変えてるだけです。
これは直接は番号詐称とは関係ありません。
line電話のしくみがわかってないや (スコア:0)
ライン電話に折り返したい時は、ケータイに電話かけないとダメなの?
Re: (スコア:0)
ここで説明されてます。
http://techlog.iij.ad.jp/archives/1005 [iij.ad.jp]
下手な対応されるとMVNOスマホで使いにくくなる? (スコア:0)
ガラケーとスマホ二台持ち、
ガラケー側のSMSで認証通してあるけど格安SIMのスマホで
使ってる人、結構いるんでは?
格安SIMにも電話番号あるから、これも偽装になるよね。
Re: (スコア:0)
米国で使ってますが、Google Voiceの番号で登録しているのでSIMに記録されている番号とは違った番号になっています。
対応次第でかなり面倒なことになるかも……。
それは無理 (スコア:0)
これには条件がつく。
SIM本来の所有者がその電話番号で登録すると、借用して作ったLINEアカウントは無効になる。借りる前に本来の所有者がLINE登録していると、そちらのアカウントが無効になるのであっさり発覚する。
異なるLINEアカウント間で電話番号の共有はできない。なので、借用されたSIMで、その後LINEに登録しないこと、という条件がつく。
参照されたblogではそこまで検証していないので、上記引用部分はタレコミ人の創作のようだが、実際には無理がある。
Re: (スコア:0)
LINE使ってない人の番号から発信出来る訳で、ターゲットはそこら中に居ると思いますが?
Re: (スコア:0)
LINEが悪いのになんでそれから身を守るのにLINEに入れなんて強制されなきゃいけんの?
なにその気持ち悪い脅迫みたいな行為。やめてくんない?
自衛するなら… (スコア:1)
わざわざ入れなくとも、以下、既出の対策をやるだけでも、やらないよりは良いのでは?
・SIMにPINを設定
・画面ロックを設定、あるいは厳格化
・通知設定で、SMSの内容がロック中に表示されないようにする
(認証コードを通させないため)
・(追加)そもそも端末を放置しない、目を離さない
・(追加)SIM再発行をするために必要な情報や要件を、他人に満たさせないようにする
(信頼おけない人に契約情報を教えない、など)
←再発行されてSIMフリー端末で認証されたら…の対策
#他にもあるかもだけど、残業明け早出の脳みそでは…
表)日々のアクセントに! 人生のスパイス「変わり種」!
裏)とり過ぎに注意してください。ネタまみれになります。
Re:自衛するなら… (スコア:1)
通信方式の一致は大前提。
同一キャリアならSIMロック2がかかる端末では無意味ですし…
#そもそも今時ロック2かかってる新しめの端末はあまりないと思いますけど
自分自身、MVNO含め、キャリアのSIM再発行の基準はあまり把握しているわけではないです。
ただ、その再発行されたSIMを悪用する者がいたとして、その立場に立って考えたら、少しでも制約が少ないモノを使うのがセオリーかな? と思いますし…
#長々書いてますけど結局はシンプルな「犯罪者的な考え」です
表)日々のアクセントに! 人生のスパイス「変わり種」!
裏)とり過ぎに注意してください。ネタまみれになります。