パスワードを忘れた? アカウント作成
10809640 story
スラッシュバック

LINE、「LINE電話」での発信者番号偽装を防ぐため確認プロセス強化へ 23

ストーリー by headless
確認 部門より
LINEは4日、「LINE電話」サービスで発信者番号を偽装可能な問題に対応するため、今後確認プロセスを強化していくことを明らかにし、第1弾の不正利用防止策を発表した( LINE公式ブログの記事)。

LINE電話ではSMS認証により確認された電話番号を発信者番号として通知する機能を利用できるが、LINEを使用していないユーザーの電話番号を不正に利用してSMS認証される可能性や、解約済みの電話番号をLINE電話で継続利用できるといった問題が指摘されていた。不正利用防止策は段階的に実行され、第1弾として4月中をめどにアプリをアップデートし、「 端末のSIM情報の確認」「ネットワーク接続状況の確認」「不正使用検知アルゴリズムによる確認」という3つの確認プロセスを追加するという。これらの確認要件が満たされない場合、電話番号を利用した再認証を行い、再認証が完了しなければ非通知での発信となる。また、新バージョンの公開後は現行バージョンでの発信はすべて非通知になるほか、アップデート後に再度の電話番号認証が必要になることもあるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年04月05日 13時41分 (#2575829)

    「不正使用検知アルゴリズム」なんてのを条件に入れて言い訳してるようにしか見えません。
    どうせそのブラックボックスのザル処理でなんでも問題なしってことにする腹づもりでしょ?

    LINEが「電話番号」を勝手な取り決めで扱うことも問題ですが、
    それでも真面目にやるつもりがあるなら
    LINE電話での発信時の条件として
    (例として)

    ・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している

    ・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する

    ・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
     3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする

    ような仕組みにすべきです。
    そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。
    そんなブラックボックス、あるほうが害ですよね。

    • インフラタダ乗りってのがよくない。SIMの電話番号だってLINEのものじゃない。
      日本だったらLINEが050番号取って、発信番号欲しいユーザに有償でふりわければいい。
      親コメント
      • by Anonymous Coward

        本来の電話番号を表示するってのがそもそもの問題ですよね。
        他のVOIPみたいにちゃんと050の番号取ってそれを通知するようにすればいいだけなのに。

    • by Anonymous Coward

      > そして上記では「不正利用検知アルゴリズム」なんてものは必要ありません。

      アプリを乗っ取るアプリも想定しているのでは?

      他人のスマホで正当に認証されたSIM(UIM)とLINEアカウントで割り込んじゃうとか。
      SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
      通信区間に割り込むこと考えたら楽勝な部類だよねとか。

      • by Anonymous Coward

        > SIPサーバーと端末の通信はいわゆる無線LANな区間もあるWi-Fiで3GとかLTEとかな
        > 通信区間に割り込むこと考えたら楽勝な部類だよねとか。

        その区間は暗号化でもしときゃいいわけで。

        仮にそこを暗号化していないっていう実装で乗っ取りの脅威への対抗っていうのは、
        そもそも「電話番号の通知において不正利用されるのを防ぐため」よりもずっとショボイ次元の話ですよ。
        今回の不正利用を防ぐ対策の一つに挙げられるものじゃないです。

        たとえば、今回の「電話番号の通知においての不正利用の抑止」としてLINEが挙げる要素に
        「開発者を信用できる人にします」とか書かれても「んなもんそもそもやっとけよ!!」でしかないでしょ。

    • by Anonymous Coward

      > ・SIMが刺さっていて、SIMの電話番号とLINEに登録された電話番号が一致している
      >
      > ・発信時に一度WIFIなどを強制断の上で3G接続し、SIMが通信可能な状態であることを確認する
      >
      > ・該当SIMで3G接続が正しく行えることを確認したら、有効期限1分(例)、自動更新の発信用トークンを発行し、
      >  3GでもWIFIでも1分以内に発信し、かつ再接続などあっても1分以内なら復帰できるようにする

      この程度は流石に最初から導入してただろ・・・してたよね?

      • by Anonymous Coward on 2014年04月06日 12時18分 (#2576336)

        してないよ。SIM抜いても番号通知で発信できるし
        認証コードをソーシャルハックなどで分かれば他人の番号で発信できる。

        親コメント
        • by Anonymous Coward

          さすがOINK、便利でいいアプリだ。

      • by Anonymous Coward

        驚くなよ、実は・・・

      • by Anonymous Coward

        電話番号を使ったシグナリング(Whatsapp、Telegramなど)なんかでも反対にここまでやっているようなものの方が少ないですね。

        SMS認証以上のことをしている実装の方が反対に少ないので、LINEだけ叩くのもかわいそうな感じがする。

      • by Anonymous Coward

        出てすぐぐらいに一応iPodTouchに入れたんで、ガラケーにSMS送ったはずなんですが、その記憶が一切ありません……
        今はLINEアプリ関係のスパムがバンバン着てます。

        消しても良いだろって話なんですが……万一入れなおすとなると面倒かなと。

  • by Anonymous Coward on 2014年04月05日 14時21分 (#2575848)

    androidはよく判りませんが、iPhone & iOSではSIMから取得できる情報って今はかなり
    制限されちゃっていてキャリア名とかは取れるけど電話番号は取得できなくなってたと思うし、
    IMSIなんかも取得できないと思いましたが…。

    実はなんとなくの組み合わせでしか見れないから「確認方法はブラックボックス」と言ってる
    だけなんじゃないのかと思ったり。

    • by Anonymous Coward

      今回実際にLINEが以下に該当するかどうか、またAppleが認めるかどうかは別の話として、
      超大手アプリなどでは
      必要に応じ本来禁止されているAPIや隠しAPIについてAppleから利用許可が出ます。

      • by Anonymous Coward

        本当かよ、嘘くさい

        ソースは?

      • by Anonymous Coward

        超大手アプリなどでは
        必要に応じ本来禁止されているAPIや隠しAPIについてAppleから利用許可が出ます。

        んなわけねーだろ
        勝手に使って見逃されてたパターンは過去あったけどな。

  • by Anonymous Coward on 2014年04月05日 21時24分 (#2576101)

    LINEが過去に行った不誠実な対応の一覧ってどこかにないですか?

  • by Anonymous Coward on 2014年04月06日 11時58分 (#2576325)

    過去にはオペミスかバグで非公開設定にしていたとしても電話帳公開状態
    個人情報の取り扱いは最悪
    サポート体制はさらに悪い
    さらにはLINE運営とは無関係かもしれませんが「LINE掲示板」の無法状態

    悪い点を上げたらきりがありませんがこのようなものが何故今までお咎め無しで存続しているのか疑問です
    危険性より利便性が勝るというのはユーザの言い訳ならば自己責任の範疇でしょうが運営側では通用しない理論なはず

    • by Anonymous Coward

      >悪い点を上げたらきりがありませんがこのようなものが何故今までお咎め無しで存続しているのか疑問です

      ヒント:NHN

    • by Anonymous Coward

      > 危険性より利便性が勝るというのはユーザの言い訳ならば自己責任の範疇でしょうが運営側では通用しない理論なはず

      なんで? 使ってるやつがいるからこんなものが蔓延るんじゃない。
      Lineは糞だけどそれを使ってるやつがらその元凶だよ。

    • by Anonymous Coward
      LINE使ってる奴が自己責任で被害こうむるのはどうでもいいけど、
      一番の問題点はこの場合は被害者が「相手」になるということ。
      LINE使ってなくても番号偽装による詐欺の被害にあう可能性があるわけで。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...