LINE、「LINE電話」での発信者番号偽装を防ぐため確認プロセス強化へ 23
ストーリー by headless
確認 部門より
確認 部門より
LINEは4日、「LINE電話」サービスで発信者番号を偽装可能な問題に対応するため、今後確認プロセスを強化していくことを明らかにし、第1弾の不正利用防止策を発表した(
LINE公式ブログの記事)。
LINE電話ではSMS認証により確認された電話番号を発信者番号として通知する機能を利用できるが、LINEを使用していないユーザーの電話番号を不正に利用してSMS認証される可能性や、解約済みの電話番号をLINE電話で継続利用できるといった問題が指摘されていた。不正利用防止策は段階的に実行され、第1弾として4月中をめどにアプリをアップデートし、「 端末のSIM情報の確認」「ネットワーク接続状況の確認」「不正使用検知アルゴリズムによる確認」という3つの確認プロセスを追加するという。これらの確認要件が満たされない場合、電話番号を利用した再認証を行い、再認証が完了しなければ非通知での発信となる。また、新バージョンの公開後は現行バージョンでの発信はすべて非通知になるほか、アップデート後に再度の電話番号認証が必要になることもあるとのことだ。
LINE電話ではSMS認証により確認された電話番号を発信者番号として通知する機能を利用できるが、LINEを使用していないユーザーの電話番号を不正に利用してSMS認証される可能性や、解約済みの電話番号をLINE電話で継続利用できるといった問題が指摘されていた。不正利用防止策は段階的に実行され、第1弾として4月中をめどにアプリをアップデートし、「 端末のSIM情報の確認」「ネットワーク接続状況の確認」「不正使用検知アルゴリズムによる確認」という3つの確認プロセスを追加するという。これらの確認要件が満たされない場合、電話番号を利用した再認証を行い、再認証が完了しなければ非通知での発信となる。また、新バージョンの公開後は現行バージョンでの発信はすべて非通知になるほか、アップデート後に再度の電話番号認証が必要になることもあるとのことだ。
言い訳だけの意味なし対策になりそう (スコア:2, すばらしい洞察)
「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。
どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?
LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、
それでも真面目にやるつもりがあるなら
LINE電話での発信時の条件として
(例として)
・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
ような仕組みにすべきです。
そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
そんなブラックボックス、あるほうが害ですよね。
Re:言い訳だけの意味なし対策になりそう (スコア:1)
日本だったらLINEが050番号取って、発信番号欲しいユーザに有償でふりわければいい。
Re: (スコア:0)
本来の電話番号を表示するってのがそもそもの問題ですよね。
他のVOIPみたいにちゃんと050の番号取ってそれを通知するようにすればいいだけなのに。
Re: (スコア:0)
> そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
アプリを乗っ取るアプリも想定しているのでは?
他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。
SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
通信区間に割り込むこと考えたら楽勝な部類だよねとか。
Re: (スコア:0)
> SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
> 通信区間に割り込むこと考えたら楽勝な部類だよねとか。
その区間は暗号化でもしときゃいいわけで。
仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、
そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。
今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。
たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に
「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。
Re: (スコア:0)
> ・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
>
> ・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
>
> ・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
> 3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする
この程度は流石に最初から導入してただろ・・・してたよね?
Re:言い訳だけの意味なし対策になりそう (スコア:2, 興味深い)
してないよ。SIM抜いても番号通知で発信できるし
認証コードをソーシャルハックなどで分かれば他人の番号で発信できる。
Re: (スコア:0)
さすがOINK、便利でいいアプリだ。
Re: (スコア:0)
驚くなよ、実は・・・
Re: (スコア:0)
電話番号を使ったシグナリング(Whatsapp、Telegramなど)なんかでも反対にここまでやっているようなものの方が少ないですね。
SMS認証以上のことをしている実装の方が反対に少ないので、LINEだけ叩くのもかわいそうな感じがする。
Re: (スコア:0)
出てすぐぐらいに一応iPodTouchに入れたんで、ガラケーにSMS送ったはずなんですが、その記憶が一切ありません……
今はLINEアプリ関係のスパムがバンバン着てます。
消しても良いだろって話なんですが……万一入れなおすとなると面倒かなと。
SIM情報の確認とは具体的にどうやるのだろう? (スコア:0)
androidはよく判りませんが、iPhone & iOSではSIMから取得できる情報って今はかなり
制限されちゃっていてキャリア名とかは取れるけど電話番号は取得できなくなってたと思うし、
IMSIなんかも取得できないと思いましたが…。
実はなんとなくの組み合わせでしか見れないから「確認方法はブラックボックス」と言ってる
だけなんじゃないのかと思ったり。
Re: (スコア:0)
今回実際にLINEが以下に該当するかどうか、またAppleが認めるかどうかは別の話として、
超大手アプリなどでは
必要に応じ本来禁止されているAPIや隠しAPIについてAppleから利用許可が出ます。
Re: (スコア:0)
本当かよ、嘘くさい
ソースは?
Re: (スコア:0)
超大手アプリなどでは
必要に応じ本来禁止されているAPIや隠しAPIについてAppleから利用許可が出ます。
んなわけねーだろ
勝手に使って見逃されてたパターンは過去あったけどな。
とりあえず (スコア:0)
LINEが過去に行った不誠実な対応の一覧ってどこかにないですか?
Re: (スコア:0)
http://twilog.org/NAVER_LINE/search?word=%E9%80%86%E5%A4%89%E6%8F%9B&a... [twilog.org]
まずこの嘘かな~。
Re: (スコア:0)
LINEの定番でもあり一番の不誠実な対応は『無視』ですから
Re:とりあえず (スコア:1)
程度の差はあれど、大手はどうしてもそうなるんじゃないすか。
#以前某WEBサービス会社に連続で黙殺されたのもいい思い出
何故お咎め無し? (スコア:0)
過去にはオペミスかバグで非公開設定にしていたとしても電話帳公開状態
個人情報の取り扱いは最悪
サポート体制はさらに悪い
さらにはLINE運営とは無関係かもしれませんが「LINE掲示板」の無法状態
悪い点を上げたらきりがありませんがこのようなものが何故今までお咎め無しで存続しているのか疑問です
危険性より利便性が勝るというのはユーザの言い訳ならば自己責任の範疇でしょうが運営側では通用しない理論なはず
Re: (スコア:0)
>悪い点を上げたらきりがありませんがこのようなものが何故今までお咎め無しで存続しているのか疑問です
ヒント:NHN
Re: (スコア:0)
> 危険性より利便性が勝るというのはユーザの言い訳ならば自己責任の範疇でしょうが運営側では通用しない理論なはず
なんで? 使ってるやつがいるからこんなものが蔓延るんじゃない。
Lineは糞だけどそれを使ってるやつがらその元凶だよ。
Re: (スコア:0)
一番の問題点はこの場合は被害者が「相手」になるということ。
LINE使ってなくても番号偽装による詐欺の被害にあう可能性があるわけで。