世界とつながる時代の子どもセキュリティ解説メディア

つながる世界の歩き方

LINE乗っ取り被害とその手口!パスワードリスト攻撃とフィッシング

CNETに、「LINEで乗っ取り被害–mixi、ニコニコの「不正ログイン」と同じ手口か」(2014/06/13)という記事が出ていました。LINEのアカウントを乗っ取る被害が出ていること、そしてその手口は、ここ数日で騒がれている、ニコニコ(22万件)mixi(4万件)の不正アクセス被害の手口と同様であると推測されたことが記事になっています。

LINEホームページの公式ブログTwitterのLINE公式アカウントからも、注意喚起されています。

今回のこの被害報告を踏まえ、「LINEアカウント乗っ取りの手口」に関して、2つの手口を紹介し、注意喚起につなげたいと思います。

ちなみに、2つの手口は、どちらもIDとパスワードに狙いを定めたものです。LINEをスマートフォンで、電話番号と紐付けて利用しているユーザが多いと思うので、「LINEのパスワードって何?」と思う人は多いかもしれません。LINEでは、他端末で同じアカウントで利用したり、PC用のアプリで利用する際などに、パスワードを設定して利用します。

 

パスワードリスト攻撃

CNETの記事で報告されている不正アクセスの手口は、このパスワードリスト攻撃と呼ばれる手法です。
パスワードリスト攻撃は、リスト型攻撃、アカウントリスト攻撃とも呼ばれます。被害に遭ったのとは別のサイトで利用しているアカウントIDとパスワードの組み合わせのリストを用いた攻撃です。悪意を持つ者が、何らかの方法で、他サイトで実際に利用しているIDとパスワードを不正に入手します。多数の人のIDとパスワードの組みを取得し、そのリストを利用して、Webサイトにアクセスを試みます。

Webサイト、サービスのユーザは、同じIDとパスワードの組み合わせを、複数のサイトで使用する傾向が強いという実態があります。心当たりの方もおられるのではないでしょうか。このため、パスワードリスト攻撃の成功率は高くなる傾向があります。
以前より紹介している、警察庁の不正アクセスデータでも、パスワードリスト攻撃に対して注意喚起がなされています。

リストからの無差別攻撃のため、特定個人を攻撃しているわけではありません。サービス提供者側からは、同じ時間帯や通信経路から、何度も失敗ログインが行われていることなどから、この攻撃が行われていることが推測できます。

ユーザ側としては、「サイトごとにIDとパスワードの組み合わせを変える」ことで対策ができます。複数のサイトやサービスを利用している人にとっては難しいかもしれませんが、「他のサイトと同じID・パスワードは利用しないでください。」と注意喚起される裏には、このパスワードリスト攻撃の被害があります。お心当たりの方は、パスワード変更を急ぎ行いましょう。(変更方法は本記事末尾)

フィッシング

フィッシング詐欺、フィッシングサイトなどの言葉で耳にすることが多いかと思います。釣りの”Fishing”と思いきや、英語では”Phishing”と書きます。語源は定かではないそうです。
言葉の意味としては、不正に(IDと)パスワードを入手する行為のことを指します。LINEのアカウント乗っ取りの被害には、このフィッシングでの手口も以前より存在しているようです。

以下は、そのフィッシングの本文の例のようです。(引用元 2014/06/14

@NAVER_LINE

LINEサービス大型移行に伴い、IDとパスワード、登録メールアドレスを再確認させて頂くことになりました。

お手数ですが下記の空欄に記入して送信してください。

メールアドレス【 】
ID【 】
Password【 】

これに対し、Twitter上のLINE公式アカウント(@NAVER_LINE)が、(引用元 2014/06/14

弊社ではユーザーの方のメールアドレス宛に連絡をすることは致しません。また、サービスの大型移行というようなことも一切予定していませんので、いたずらメールかと思われます。応答しないようご注意ください。

と返信しています。

他にも別のシチュエーション設定や言いまわしで、同様の手口が存在していると思います。
一般に、サービス提供者がユーザにパスワードを聞くことはありません。
メールやLINEで連絡が来ても、返信したり記載のURLをクリックするようなことがないようにしましょう。返信やURLのクリックが2次的な被害をもたらす場合もあります。なにより、「反応すること」を示してしまうと、「このようなあやしい連絡にも反応するような人だ」=「騙されやすい人だ」と思われ、フィッシングだけでなく、広範囲で詐欺の標的にリストアップされる可能性があります。基本的には相手にしないことです。

このような連絡の内容がどうしても気になったら、気になったら友達にも聞いてみたり、公式ホームページや各種LINE公式アカウントに確認・問い合わせしてみると良いでしょう。LINEに限らず、これは同様です。

 

このように、LINEアカウントとパスワードを狙う攻撃が存在しているようです。
その他にも、誕生日やアカウント名に近いパスワード、辞書に載っている単語のみのパスワードなど、以前も紹介したような単純なパスワードは常に当てられてしまう危険性があります。こういった場合も注意してください。

 

このような身近な被害報告については、今後もご紹介していきます。

手口を知り、気を付けていきたいですね。

 

 

(2014/06/16追記)
※LINEのパスワード変更は、スマートフォンLINEアプリから行えます。
※アプリを起動し、[設定]>[アカウント]>[メールアドレス登録]>[パスワードの変更] で変更可能です。

 

 


  • Twitter履歴

  • アクセスランキング

  • 月別記事

  • Archives