「安全性と利便性の両立を図っている」と語る市原氏

やりとりは暗号化

2011年の東日本大震災を契機に開発されたチャット・通話アプリ「LINE」。もはや生活に欠かせない通信手段となっている。高い利便性が特長の同アプリのセキュリティに関する取り組みについて取材した。

「テキストのやりとりや通話は暗号化を実施している」というのはLINEのセキュリティ室セキュリティ戦略チームマネージャーの市原尚久氏。アプリ内の設定で「Letter Sealing」という機能を50人以下のトーク参加者が全員オンにしていれば、暗号化が行われやりとりの内容は同社にもわからないという。画像は一度同社のサーバーにアップされ、相手に伝わるが、サーバーと端末の間の通信は暗号化される。

同社が力を入れているのがいわゆるアカウントの乗っ取り対策。最初に注力を始めたのは2012~13年にかけてで、各アカウントに4ケタのPINコード割り当てなどを行った。しかしながら、メールアドレスなどからパスワードの割り出しを行うリスト型攻撃による乗っ取りも行われるようになってきたことから、2016年2月に新たな対策を行った。乗っ取りが起こりやすい機種変更の際に「アカウントを引き継ぐ」ボタンを導入。さらにSMSを通じて認証コードを送ることにより、一時乗っ取りをゼロにしたという。

写真を拡大 2017年からLINEアプリでの情報のやりとりは暗号化がほぼ100%となっている(出典:LINEホームページ)

「サイバー防災訓練」で啓発

また、同時期に芸能人の騒動で「クローンiPhone」がクローズアップされた。これはiPhoneのバックアップに用いるiTunesを使い、元のiPhoneと全く同じ中身の「クローンiPhone」を作成。どちらの端末からも同じアカウントを使え、情報流出につながった。2016年2月に同じく対策が行われ、複数のスマートフォンから同じアカウントを使用することはできなくなった。

ただし、アカウント乗っ取りはさらに巧妙化しており、ある電話番号でアカウントを勝手に作成。知人を装って、その電話番号の持ち主から端末に届くSMSを聞きだし、認証をくぐり抜けるケースも出てきた。LINEはひとつの電話番号でひとつのアカウントしか使えないので、アカウントが勝手に作られれば実質乗っ取られることとなる。

このケースへの対応のため、2017年に「サイバー防災訓練」を実施。これは、乗っ取りを疑似体験できるもので、友人になりすました人物が様々な情報を聞き出して乗っ取ってしまう動画が流される。「乗っ取り対策はいたちごっこ」と市原氏は難しさを語る。LINEではさらに電話番号やSMSの聞き出しへの対策を行う方針だという。

最近はスパムも巧妙化している。専用アカウントを作り、偽ブランド品販売などのPRを行うもの。スパムに用いられるアカウント作成や配信はほぼ自動化されており、市原氏は「人の手での対策ではもはや追いつかない」という。そこで1年以上前からデータサイエンスの専門家の協力を得て、機械学習でこれまでのスパムと似たパターンを割り出し、アカウントを無効化するという対策をとっている。

企業間連携拡大への対応

スパム用のアカウントの作成は主に2種類。ひとつはフリーメールのアドレスからフェイスブックのアカウントを作り、そこからLINEアカウントを作成。もうひとつはバーチャルSIMを利用し作成する。バーチャルSIMは従来の端末に差し込んで使うSIMカードとは違い、クラウド上で管理されたSIM。ネット上で電話番号を取得することができ、大量にアカウントを作るのに適している。「スパムは乗っ取りよりもすぐに新たな手がうたれる」と市原氏は評しており、機械学習での対応を進める。

ほかにもフィッシング詐欺対策では、ユーザーへの通知はメールでなくアプリ経由で可能な限り行っている。また詐欺に使われるドメインをいち早くブロックするため、7月に米国に本拠のある非営利団体・APWG(Anti-Phishing Working Group)にも加盟した。さらに今年の「サイバー防災訓練」ではヤフーとアマゾンジャパン、仮想通貨取引所運営のbitFlyer(ビットフライヤー)も参加。フィッシング詐欺について動画などを用いて解説した。

LINEでは格安スマホの「LINEモバイル」やキャッシュレス決済の「LINE Pay」などサービスが広がっているほか、企業公式アカウントも含め他企業とも連携が増加している。アカウントを持つことで様々なサービスが利用できるようになっている現在、セキュリティで他社に対しオープンにしないといけない面もある。「セキュリティと開発、企画、カスタマーセンターの各部門で密に連携し、事業化などの判断は素早くしている」と市原氏は説明。新しい企画は新たなセキュリティ対策が必要だし、新たなセキュリティ対策は問い合わせが増えカスタマーサポートで対応が必要となる。市原氏は「安全性と利便性のバランスは重要で、今後もスピード感を持って対応にあたっていく」という。

(了)

リスク対策.com:斯波 祐介