ESET/マルウェア情報局
LINEアカウント乗っ取りの手口や対策を解説
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「LINEアカウントを乗っ取られないためにできること」を再編集したものです。
LINEアカウントの乗っ取りとは
2020年1月に発表されたLINEの資料によると、国内の月間利用者数(MAU)は8300万人に達している。国内の多くのユーザーに使われ、プラットフォームとしての存在を確立したLINEだが、多くのユーザーが利用するというメリットはデメリットの側面も抱える。LINEに関連した詐欺などの被害はたびたび報道されることも少なくない。
例えば、LINEの乗っ取り被害は2014年ごろから顕在化し、近年では悪質なフィッシング詐欺の被害も急増している。2020年2月には大規模な不正ログインも報告されるなど、その被害総数は4000件以上とも言われている。
攻撃者はさまざまな手法を用いて、ユーザーが多く利用する大手プラットフォームのログイン情報を収集している。LINEは決済系サービスなどとの連携が可能なこともあり、アカウントが乗っ取られてしまった場合、金銭的な被害につながることもある。また、自分のアカウントが乗っ取られて連絡先情報などが悪用されることで、友人や知人などに被害が拡散してしまう可能性も否定できない。だからこそ、LINEを利用するユーザーはアカウントの乗っ取りには気を付けなければならない。
内部記事リンク:LINEをかたるフィッシングについての注意喚起
https://eset-info.canon-its.jp/malware_info/news/detail/191029_2.html
アカウントの乗っ取りを確認するには
LINEアカウントが乗っ取られると、どのような症状が起こるのだろうか。スマホでLINEを起動した際に「利用することができません」と表示されたのであれば、そのアカウントはすでに乗っ取られている可能性が高い。LINEではこうした場合に備え「お問い合わせフォーム(図1、2)」を用意しているので、二次被害を防ぐためにも、すみやかに通報するようにしよう。ログインできない場合は、ブラウザー版で問い合せが可能だ。
LINEはスマホ以外の端末でログインする際、アプリに「ログイン通知」が送信される。身に覚えのないログイン通知が届いた場合、アカウントが攻撃を受けている可能性が想定される。迅速な対応が必要だろう。ログイン中の端末は「設定→アカウント→ログイン中の端末(図3)」でチェックすることができる。自分が利用している以外の端末が確認されたならば、簡単な操作でログアウトできるので、すみやかに対処しておくようにしたい。
LINEのアプリに問題なくログインでき、不審な端末からのログインもないようであれば、不正なアクセスなどは生じてないと思われるので、ひとまずは安心していい。しかし、今後のセキュリティを高めるためにも、この機会に対策を講じておきたい。対策についてはこの記事の後半部分で説明する。
LINEアカウント乗っ取りの手口や事件
アカウント乗っ取りへの対策を講じるうえで、一般的な手口を理解しておくことは重要だ。LINEへのログインはメールアドレス、パスワード、電話番号、認証番号などが求められる。そのため、これらの情報を取得することが最初の攻撃となる。主な攻撃手法としては下記の2つだ。
・パスワードリスト型攻撃によるアカウント情報の取得
パスワードリスト型攻撃は、攻撃者が不正に入手した攻撃用データベースの情報を元にアカウントへのログインを試みる方法だ。パスワード管理が面倒だからという理由で、複数のサービスでパスワードを使い回しているユーザーはまだまだ多い。攻撃者は何らかの方法で入手したメールアドレスとパスワードを使い、複数のサービスへのログインを試みる。例えば、LINEではなく他のサービスなどで情報漏えいが起きたとしよう。同じパスワードをLINEで利用していた場合、リスト型攻撃によってLINEアカウントを乗っ取られる危険性がないとはいえない。
・電話番号と認証番号を不正に聞きだす手法
LINEは電話番号検索に対応している。適当な数字の組み合わせを入力しても該当者がいれば表示されてしまう。攻撃者はこの仕組みを悪用し、ランダムに電話番号を検索し出てきたアカウントを友だちとして登録する。その後、攻撃者は「認証番号が届くから教えてほしい」などと言葉巧みに認証番号を聞きだす。電話番号と認証番号を知られた場合、LINEは乗っ取られアクセスできなくなってしまう。
LINEアカウントを乗っ取った後、攻撃者はどのような行動に出るのだろうか。まずは、そのアカウントを利用して送金や購入といった直接的な犯罪行為におよぶことが考えられる。もうひとつは、本人になりすまして友人へプリペイド型電子決済サービスの購入を依頼することだ。これらサービスは認証コードを入手できれば容易に換金が可能なためだ。
さらに、本人になりすました攻撃者は、言葉巧みに友人や知人から情報を盗み出し、詐欺行為を働こうとする。その手口は年々巧妙かつ悪質になっている。より自然にみせかけるために、犯人は短時間のうちに乗っ取ったLINEのトーク履歴を読み取り、なりすまそうとする。仮に、乗っ取られた自分のLINEアカウントで詐欺行為が行われた場合、自分自身は金銭的被害を受けなくとも、友人や知人が金銭的被害を受ける可能性があり、そのことが信頼関係をも損なってしまいかねない。
LINEアカウントを乗っ取られないために
アカウントの乗っ取りを未然に防ぐためには、どのようなことに気をつければよいのだろうか。どれもセキュリティ対策としては基本的なことばかりではあるが、最低限でも下記のようなことについて意識し、取り組みを進めていくべきだろう。
・パスワードを使い回さない
パスワードを使い回すことは、パスワードリスト型攻撃のターゲットになる危険性を自ら高める行為ともいえる。サービスごとに異なるものを利用し、使い回さないことを徹底したい。最近のウェブブラウザーでは、パスワード管理機能がパスワードを自動生成してくれるものもある。下の記事を参考に、自動生成機能を有するパスワード管理ツールを利用することも選択肢に入れるとよいだろう。
「LastPass? 1Password? 安全なパスワード管理ツールとは?」
https://eset-info.canon-its.jp/malware_info/special/detail/200326.html
・パスワードを複雑にする
パスワードは複雑な方が推測されにくく安全だ。近年のコンピューター性能の向上を考えると15桁以上が望ましい。ただし、利用するすべてのサービスで15桁以上のパスワードを個別に設定して記憶することは現実的ではないため、前述のパスワード管理サービスなどを活用するとよい。
・パスワードを定期的に変更する
厳重に管理したパスワードも漏えいの危険性は常につきまとう。同じパスワードを長期間使い続けるのではなく、定期的に変更するようにしよう。
内部リンク:セキュリティを高めるために知っておくべきパスワード管理の基本
https://eset-info.canon-its.jp/malware_info/special/detail/200225.html
・他端末でのログインを不許可にする
LINEは他端末でのログインを不許可にすることができる。「設定→アカウント」で簡単に変更できるので、パソコンなど他の端末でログインする必要がないならば、オフにしておこう。
・LINEにパスコードロックをかける
LINEアプリにパスコードロックをかけるのも有効だ。紛失した際などにアカウントを不正利用されるリスクを減らすことができる。パスコードは「設定→プライバシー管理(図4)」で設定することが可能だ。
・スマホの盗難や紛失リスクを避ける
スマホは携行するという特性を考慮すると、スマホそのものの紛失・盗難のリスクに備えておく必要がある。スマホにはロックをかける、端末を探す機能をオンにしておくなど、対策を施しておこう。スマホ紛失時の対応については下の記事も参考になるはずだ。
内部リンク: 「スマホをなくした!というときに取るべき行動とは?」
https://eset-info.canon-its.jp/malware_info/special/detail/190808.html
・アプリをアップデートしておく
スマホに限った話ではないが、ソフトウェアであるアプリは必ず最新版に更新することは徹底しておきたい。攻撃者はグローバルなネットワークで脆弱性の情報を共有している。LINEに限らず、アプリ全般は常に脆弱性を狙われていると考え、アップデートが出たら更新するようにしておきたい。
・登録情報を最新に保つ
意外と盲点となりがちなのが、電話番号情報の更新だ。LINEはひとつのアカウントにひとつの電話番号しか登録できない。そして、機種変更などで不要になった電話番号は他の人間に使われる可能性がある。その電話番号で別の人間がLINEアカウントを作成した場合、突然LINEが使えなくなり、悪用される可能性も想定される。自分のアカウントに登録された電話番号が、現在利用しているものと一致しているかどうか、改めて確認しておこう。
・公開情報は慎重に設定する
LINEのニックネーム、アイコン画像、ステータスメッセージ、誕生日などは他のユーザーも閲覧できてしまう。これらの情報からパスワードを類推される危険性はゼロではない。公開情報は慎重に設定するのはもちろんのこと、パスワードの類推に利用される可能性は頭に入れておきたいところだ。
・認証番号は誰にも教えない
二段階認証としてSMSで送られてくる4桁の認証番号は多くの場合、有効期限が設けられている。しかし、シンプルなコードだからといって、他人に開示するようなことは避けるべきだ。
外部リンク:アカウントを安全に保つために
https://linecorp.com/ja/safety/account
友人や知人のLINEが乗っ取られたら?
最近ではLINEの乗っ取り方法も巧妙化しており、一見して判断するのが難しい。まるで知人、友人と普通にコミュニケーションをしているかのようなやり取りがなされる場合もある。以前は日本語そのものがおかしいことも多々あったが、最近は流暢な日本語になっている。また、敢えてあまり連絡を取っていない友人を狙い不自然さをカモフラージュすることもある。
しかし、攻撃者は必ず何らかの行動を促してくる。その一つが、プリペイドカードの購入依頼という例だ。ある日突然、友人からプリペイドカードの購入依頼がきたら怪しいと思ったほうがよいだろう。電話やメールなど他の手段でコンタクトを取り、アカウントが乗っ取られている可能性を伝えてあげよう。具体的な対策については本記事のことを紹介するのも一考だ。また、どれだけ仲のよい友人だったとしても、SMSで送られてくる認証番号は絶対に教えないようにしよう。
適切な対策を講じ、安心してやり取りを
日本国内で多くのユーザーに利用されているLINEは、もはや日常生活で欠かすことができないツールとさえいえる。そんなLINEだからこそ、乗っ取られた際の被害は計り知れない。
悪意のある攻撃者は、ソフトウェアやアプリケーションなどの脆弱性だけでなく、ユーザーの「心の脆弱性」を狙い、巧みに乗っ取りを成功させようとする。
逆説的にいえば、普段の心がけや意識によって回避できる危険も少なくない。パスワードの管理は手間かもしれないが、犯罪に巻き込まれた際の被害と比較するまでもないだろう。もし対策を講じていないようであれば、今すぐにでも今回紹介した項目を実践してほしい。
この記事の編集者は以下の記事もオススメしています
-
デジタル
あらためて知っておこう、パスワード管理の基礎知識 -
デジタル
「ソーシャル・エンジニアリング」とは何か -
デジタル
Facebookのプライバシー、7つの方法で自分を守る -
デジタル
情報弱者を狙うワンクリック詐欺の手法を解説 -
デジタル
トラブルから子どもを守る「ペアレンタルコントロール」 -
デジタル
Facebookの危険性をあらためて考える -
デジタル
パスワードマネージャー、パスワードを覚えなくていい便利な一方でデメリットも -
デジタル
Instagramのアカウントなりすまし詐欺に注意(実際にやってみた) -
デジタル
「パソコンが乗っ取られる」とはいったいどんな手口で行なわれるのか、またその対策は