「LINE」でトーク内容など漏えいの被害、日本国内では未確認

　LINEは、コミュニケーションアプリ「LINE」のWindows版などにおいて脆弱性による不正ログインが発生していたことを明かした。現在は対策済み。日本からの被害は確認されていないという。

　不正ログインが確認されたのは、2019年11月25日～2021年7月9日の期間。対象となるのはLINEのうち、Windows版、macOS版、iPad版、Google Chrome版。

　漏えいした可能性のある情報は、不正ログインされる2週間前からログアウトするまでのトーク内容、被害者のLINE上の友だち、グループ、トークリスト、被害者の非公開のタイムライン、Keepに保存したコンテンツ。

　確認されている被害数は556件。いずれのユーザーもインドネシアやタイなどで、日本から被害の報告はないという。

　原因は、2要素認証における脆弱性。攻撃者が何らかの方法でLINEへログインするためのQRコードのURLを被害者へ共有。被害者がそこにアクセスするとQRコードログインを完了するための画面に不正に誘導され、ログインボタンを押してしまうと攻撃者に不正にログインされる。

　このとき、本来はPINコードを用いた2要素認証が求められるが、脆弱性によりその処理が省略されたという。

　同社では、2021年7月6日にこの脆弱性を確認し、翌7日に修正を完了、9日までに確認された不正ログインを無効化した。

　加えて、再発防止策として利用者の隙やミスを利用してアカウントを乗っ取る「ソーシャルハッキング」へのリスク確認を強化するとともに、ユーザーへの注意喚起や各種ログイン機能に関わるレビューおよび脆弱性の検査を強化していくとしている。