サイバーインシデント・レポート：　http://csi.sproutgroup.co.jp/
ＬＩＮＥ：　http://official-blog.line.me/ja/

　この脆弱性はサイバーセキュリティ・ラボのスプラウトが発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA（独立行政法人情報処理推進機構）に報告。
IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン・ザ・ミドル（中間者）」と呼ばれるサイバー攻撃の標的になる複数の脆弱性。

これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマートフォン上で確認されており、多くの利用者が危険な状態に置かれていた（最新版にアップデートされていなければ現在も危険な状態）。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード（JavaScript）が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。

非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なこと。対象となるデータは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。
つまり、LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けていたことを意味する。

影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の様々な処理を実行できる仕様になっていたため。

想定される攻撃手法は、大きく分けて2つ。一つは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行させるというもの。それに従いLINEが動作すれば、いくつかの処理を経た後に利用者のLINEデータが攻撃者のサーバーに送信される。

もう一つは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込む手法。
その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。

名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上必須だが、LINEにはそこに漏れがあった。

今回見つかった脆弱性は、最新バージョンで修正されたものの、今後また似たような脆弱性が出てこないとも限らない。

＜身を守るには・・・＞
LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、
１、不用意に運営元が分からない地下鉄や大型店舗や施設など公共・公衆無線LANに接続しない、
２、SNS（ソーシャル・ネットワーキングサービス）などで見知らぬ相手と繋がることを避ける、
３、不審なリンク先に接続しない、
４、重要なデータは安全性が確認されていないアプリやサービスではやり取りしない、
といった基本的な自衛が必要。
とはいえ、利用者側の自衛には限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から利用者を守るための様々な対策が求められる。
以上、報道参照

公共無線ランは、各地の自治体や大手事業者により地下鉄や商業施設・店舗など公共施設が競うって導入されたが、セキュリテイ面の脆弱性から使用するのは非常に危険と指摘されたままとなっている。・・・何とかせいや。