パスワードを忘れた? アカウント作成
10778114 story
携帯電話

「LINE電話」サービスで発番通知を偽装できる問題が明らかに 57

ストーリー by hylom
これはかなり致命的なのでは 部門より
あるAnonymous Coward 曰く、

LINEが提供する有料電話サービス「LINE電話」が、17日よりサービスを開始した(ケータイWatch)。IP電話を利用し、通常の通話よりも安い料金で任意の固定電話や携帯電話に電話をかけられる点が特徴のサービスだが、このLINE電話で相手に通知される発信者番号を偽装できることが明らかになった。

kanai6274's blog: LINE電話で発信者番号通知の偽装ができる件」でその方法が説明されているが、LINE電話ではLINEへの登録時に使用していた端末の電話番号が発信者の電話番号として使われるようになっている模様。具体的には、登録時にSMSで認証が行われるようになっており、これによって端末の電話番号とLINEアカウントの紐付けが行われる仕組みだ。

しかし、LINEアプリ側では端末に対してアカウントが紐付けされるようになっているため、LINEに登録したのちSIMカードを差し替えることで、その端末の電話番号とは異なる電話番号での発信が可能になるという仕組みだ。

これを悪用する方法としては、たとえば他人のSIMカードを一時的に拝借してLINEに登録する、ということが考えられる。SIMカードを返した後でもその電話番号での発話が可能となり、またSIMカードを拝借されたことに気付かなければ問題は発覚しにくい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年03月20日 13時18分 (#2566465)

    ちょっと端末を机の上に置いてトイレに行った人の電話番号で登録し、ロック画面にポップアップする番号を入れればいいだけなのですから…
    (プレビューがONになっていればパスコードがかかっていても出ますよね、たしか)

    • by Anonymous Coward
      同じく。
      「一時的に他人の○○を利用して」を言うなら何でも同じだと思う。
  • PINロックかけよう (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2014年03月20日 14時34分 (#2566526)

    他人にSIMカードを使われた時点で他にも色々な不正が可能だから、LINEだけの話ではない。

    • by 90 (35300) on 2014年03月20日 17時16分 (#2566658) 日記

      この話って、発信者番号は操作できないという前提で、LINEを使うと操作できるってところですから、SMS認証とかSIMカードを使われるととかいうところは重要じゃないです。もっというと、電話番号が発信者IDとして使われて着信した段階で、それは全経路が(PSTNか、090/080か、070か、050かその他かはともかく)電話であり偽装しない保証であるはずで、それが崩されてるところが私は問題だと思います。

      # 他人のSIMカードを使わずにLINEのSMS認証を通す方法ってないのかな
      # SIMクローニング? SMSを途中で盗聴する?

      親コメント
  • by s02222 (20350) on 2014年03月20日 13時16分 (#2566462)
    SIMカードを一時的に盗む以外に、仕組みに明るくない知人をターゲットに、その人の番号で登録を進め「ごめん、間違ってLINEのパスワードをそっちに送っちゃった、見せて」などと適当な事を言って認証コードを入手するとか、いろいろバリエーションが考えられますね。
  • LINEの電話着信だけ、別の端末にかけさせるように仕向けることもできますよね…?

    しかし、どの程度使いたい人がいるかも謎だし、LINEの規約などの問題はないのか、とかすっ飛ばしての話ですけど…
    --
    表)日々のアクセントに! 人生のスパイス「変わり種」!
    裏)とり過ぎに注意してください。ネタまみれになります。
  • LINE同士の通話だったら「あんなサービス使ってる方が悪い」で済む話だけど、%表題%とは迷惑至極。
    LINEからの(この方式の)通話自体を拒否する方法ってないのかな?
    • by Anonymous Coward

      「%表題%」ってなんですか?

      • by Anonymous Coward

        DOS, Windowsでの環境変数参照の記法です。

        • by Anonymous Coward

          なんつーか、ここはほんとにアレゲの雑談サイトなのか、って感じだな。
          Dos/Windows使ってなくてもわかりそうなもんだろうに。

          • by Anonymous Coward

            知らんがな。DOS()とかでドヤ顔されてもなぁ…

          • by Anonymous Coward

            私も、それが何かバッチ変数っぽいことは一目でわかりましたけども
            普通の文章にしれっと混ぜ込まれるにはあまりに不恰好すぎるので
            (小並感)みたいな「どこぞで流行りだしたスラング」だろうと決め付けてしまいました…。

            読み捨てずに質問された元コメの行動力に敬服します。

        • by Anonymous Coward

          それだと

          %表題%とは迷惑至極。
           ↓
          固定電話や他社携帯も巻き込むのか、迷惑だなぁ……とは迷惑至極。

          となるので意味不明なんですが。

  • by Anonymous Coward on 2014年03月20日 13時14分 (#2566458)

    発信者の番号って偽装できるものだと思ってたんだけど。

    • by fuminoli (45278) on 2014年03月20日 15時28分 (#2566565) ホームページ 日記
      Viberはつい先日までアカウントである電話番号が通知されていました. なので,Fusion IP-Phone SMARTの050番号で取得したアカウントでViber Outすると050-xxx-xxxxの番号通知がされていました(ドコモ除く). しかし,3月に入って突然日本では携帯電話番号以外のアカウントが取得できなくなり,同時にauやソフトバンク,固定電話への番号通知が出来なくなりました. 何がいいたいかというと,LINE電話もそろそろブロックされるんじゃないのってこと. SkypeOutもViber Outも出来ないのにLINE電話だけできちゃうのは問題でしょ.
      親コメント
    • by atdp117 (41595) on 2014年03月20日 13時53分 (#2566497)
      日本の電話番号は対応していませんが、
      Skypeから一般の電話に発信出来るSkypeoutで行われる番号通知は、
      一旦加入電話の番号の認証を行えば、その電話を解約してもそのまま使えます。

      日本の電話番号が対応していない(できない?)理由はコレかなと思っていました。
      親コメント
    • by i_i (22332) on 2014年03月22日 1時53分 (#2567354) 日記

      発番通知をイングレスフィルタリングできないんだろうか・・・

      親コメント
  • by Anonymous Coward on 2014年03月20日 13時21分 (#2566466)

    this is taitoru onry

    • まぁ、同じアカウントから発信したのなら、端末が違おうがSIMが違おうが同じ番号になるのが普通のはず。

      親コメント
      • by Anonymous Coward

        それなら、050plusやfusion IP-Phone SMARTのように、LINEが自前で050番号の枠の割当を受けてそれを使えばいい。
        少なくとも今の日本の電気通信の世界では、勝手に携帯電話事業者の番号を名乗らせるのはおかしいんじゃないかな。
        国によっては問題ないとされてる所も多いので、このままでいいか悪いかという問題はともかくとして。

    • by Anonymous Coward

      FakerがAliceの電話番号を騙ってBobにLINEでの音声電話を掛けられる

    • by Anonymous Coward

      自分の番号からを装った脅迫電話を誰かがかけた場合、自分が誤認逮捕をされた上、

      かように複雑な仕組みを正確に把握する能力に欠ける警察から自白を強要され、脅迫犯として投獄されかねない。

      • by Anonymous Coward

        メールのfromだって偽装できるやん。
        メールは問題にならないのかな。

        • by Anonymous Coward

          レベルが違う。
          メールは貰った側がその場で確認できる。
          なりすましと擬装は似ているようで違う。

          なりすまし:気をつければ見抜ける
          擬装:疑う余地がない

          • by Anonymous Coward

            emailのFrom:変えるのも偽装って言わんか?

          • by Anonymous Coward

            メールのfromを変更されて、見抜ける人っているのかい。
            ヘッダ見れても、経路によってはさっぱりわからなかったりするよね。
            電子署名を使って、それで送信元の証明をしてもらわないと、誰が送ったかなんてわからないよね。
            メールのfromなんて自称でしかないんだし。

            でもそれにはお金がかかるから、皆自称で満足してるんだよね。
            電話番号の偽装よりずっと簡単に偽装できるのに。

            • by Anonymous Coward

              「なりすまし」を見抜けるってことだよ。
              逆に言えばオリジナルではないってこと。
              逆引きドメイン不一致や何も関係ないサーバーから送られてくればほぼわかる。

              そりゃ二個以上向うの本当の送り主を見抜くのは無理だよ。

              • by Anonymous Coward

                すごいなぁ。そんなことしてるんですか。
                携帯でメールやり取りしてて、from以外で相手の判別なんてしたことないです。
                電話番号のなりすましで「声聞けばわかるだろ」と同程度の判別方法にしか思えませんね。

    • by Anonymous Coward

      審査が甘くてSMSが使える格安SIMを大量購入。
      LINE電話で格安SIMの電話番号を登録。
      母さん助けて詐欺で使う。

      という悪用があるかなと思いました。

      • by Anonymous Coward
        入手したSIMをそのまま使って電話掛けても同じような気がします。
  • by Anonymous Coward on 2014年03月20日 13時41分 (#2566485)

    電話番号は再利用されるものですので、
    Aさんが手持ちの電話番号でLINEに登録した後に解約、
    しばらくしてその電話番号はBさんが使うよう再利用された、
    という場合に
    AさんがLINE電話で発信したら
    その時点でBさんが保有してる電話番号が通知されちゃうと思うのですが。

    • by Anonymous Coward
      本来は登録時の電話番号と異なっていたら再認証が必要となるようなロジックにするべきだと思いますが
      出会いサイト系のアプリなのでその辺りは考慮しないのでしょう。
  • by Anonymous Coward on 2014年03月20日 13時56分 (#2566501)

    フュージョンにも発番詐称するサービスありますよ。
    http://www.fusioncom.co.jp/houjin/keitai_use/ [fusioncom.co.jp]

    • by Anonymous Coward

      そのサービスは、
      「スマートフォン以外をご利用中の方も}
      のところで特定番号を相手の電話番号のまえにつければいいだけ、
      とあるように、
      単に通信事業者を変えてるだけです。
      これは直接は番号詐称とは関係ありません。

  • by Anonymous Coward on 2014年03月20日 14時41分 (#2566537)

    ライン電話に折り返したい時は、ケータイに電話かけないとダメなの?

  • by Anonymous Coward on 2014年03月20日 19時18分 (#2566733)

    ガラケーとスマホ二台持ち、
    ガラケー側のSMSで認証通してあるけど格安SIMのスマホで
    使ってる人、結構いるんでは?
    格安SIMにも電話番号あるから、これも偽装になるよね。

    • by Anonymous Coward

      米国で使ってますが、Google Voiceの番号で登録しているのでSIMに記録されている番号とは違った番号になっています。

      対応次第でかなり面倒なことになるかも……。

  • by Anonymous Coward on 2014年03月20日 20時56分 (#2566805)

    これを悪用する方法としては、たとえば他人のSIMカードを一時的に拝借してLINEに登録する、ということが考えられる。SIMカードを返した後でもその電話番号での発話が可能となり、またSIMカードを拝借されたことに気付かなければ問題は発覚しにくい。

    これには条件がつく。

    SIM本来の所有者がその電話番号で登録すると、借用して作ったLINEアカウントは無効になる。借りる前に本来の所有者がLINE登録していると、そちらのアカウントが無効になるのであっさり発覚する。

    異なるLINEアカウント間で電話番号の共有はできない。なので、借用されたSIMで、その後LINEに登録しないこと、という条件がつく。

    参照されたblogではそこまで検証していないので、上記引用部分はタレコミ人の創作のようだが、実際には無理がある。

    • by Anonymous Coward

      LINE使ってない人の番号から発信出来る訳で、ターゲットはそこら中に居ると思いますが?

    • by Anonymous Coward

      LINEが悪いのになんでそれから身を守るのにLINEに入れなんて強制されなきゃいけんの?
      なにその気持ち悪い脅迫みたいな行為。やめてくんない?

      • by trymiets (37745) on 2014年03月21日 9時54分 (#2567006)
        コメント主は悪用対策でわざわざ入れろとまでは言ってなくて、認証通された電話番号で、改めて認証通すとバレる、あるいは悪用できなくなる、ってことを言いたいだけかと。

        わざわざ入れなくとも、以下、既出の対策をやるだけでも、やらないよりは良いのでは?

        ・SIMにPINを設定
        ・画面ロックを設定、あるいは厳格化
        ・通知設定で、SMSの内容がロック中に表示されないようにする
        (認証コードを通させないため)
        ・(追加)そもそも端末を放置しない、目を離さない
        ・(追加)SIM再発行をするために必要な情報や要件を、他人に満たさせないようにする
        (信頼おけない人に契約情報を教えない、など)
        ←再発行されてSIMフリー端末で認証されたら…の対策

        #他にもあるかもだけど、残業明け早出の脳みそでは…
        --
        表)日々のアクセントに! 人生のスパイス「変わり種」!
        裏)とり過ぎに注意してください。ネタまみれになります。
        親コメント
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...