「LINE」のQRコードログインにおける2要素認証の脆弱性および不正ログイン発生に係るお知らせとお詫び
2021.09.10
1.概要
2019年11月25日より2021年7月7日18時55分までの期間、Windows/Mac OS/iPad/Google Chrome版「LINE」へのQRコードを用いたログインにおいて、PINコードを用いた2要素認証に脆弱性があり、この脆弱性を悪用した不正ログインが発生していたことを確認しました。この脆弱性の修正および確認された不正ログインの無効化は2021年7月9日12時に完了しております。
公表が遅くなりましたことをお詫びいたします。
本事案で確認された不正ログインの手法は、以下の通りです。
・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
・被害者が、上記URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者が騙されて「ログイン」を押してしまう事で、攻撃者のデバイスにて不正ログインが成功する。この際、本来であれば、PINコードを用いた2要素認証が求められるところ、脆弱性によって本来実行されるべきPINコード確認の処理が省略された。
すでに不正ログインの被害が認められたユーザーの皆さまに対してはご連絡とお詫びを実施させていただいておりますが、具体的な被害が認められないユーザーの皆さまに対しても本事案の周知および注意喚起をさせて頂きたく、この度公表を行いました。
本お知らせの末尾に問い合わせフォームを設けておりますので、万が一本件に関連する被害や事象が認められた場合はご連絡を頂きますようお願い申し上げます。
2. 本事案における影響について
本事案において、現在確認されている影響期間と規模は以下の通りです。
・期間:2019年11月25日〜2021年7月9日
・漏洩した可能性のある情報の種類:不正ログインが成功する2週間前からログアウトするまでのトーク内容、被害者の「LINE」上の友だち/グループ/トークリスト、被害者の公開されていないタイムライン投稿、被害者がKeepに保存したコンテンツ
・被害ユーザー数:556件
・確認された被害ユーザーの国家およびその内訳:
- タイ:11
- インドネシア: 466
- その他:79
※日本ユーザーの被害は確認されておりません。
3. 対応状況および再発防止策について
・2021年7月7日時点で本脆弱性を修正し、新たな不正ログインが行われないように処置を行いました。
・2021年7月9日時点で確認された不正なログインを全て無効化し、被害ユーザーの情報へ不正にアクセスできない状態となっております。
なお、新たな情報が判明した場合には、本ページの更新にて報告いたします。
再発防止策:
従来より「LINE」の各機能リリース前に行うセキュリティ担当による脆弱性検査は実施しておりますが、本件事案で受けた攻撃内容を踏まえ、フィッシングおよびソーシャルハッキング※等の悪用による非技術的な残存リスクの確認を、より一層強化いたします。
また、QRコードなどのパスワードを用いないログインを悪用するタイプのフィッシングおよびソーシャルハッキングに関するユーザーの皆さまへの注意喚起、さらに、各種ログインに関わる機能のレビュー及び脆弱性検査の強化に努めてまいります。
※ソーシャルハッキング:一般の利用者に巧みに話しかけたり、心理的な隙や、行動のミスにつけ込んで、インターネット上のアカウントを乗っ取ったり、金銭を騙し取るなどの行為をはたらくこと
4. 現在までの対応時系列 (日本時間)
・2021年7月3日 16:53 「LINE Security Bug Bounty Program」を通じて脆弱性が報告される
・2021年7月6日 17:13 報告された脆弱性が実際に存在することを当社内で確認
・2021年7月7日 18:55 脆弱性を修正
・2021年7月9日 12:00 本脆弱性により攻撃を受けた不正ログインを無効化
・2021年8月2日 12:24 影響を受けたユーザーに対し、個別にお詫びの通知を実施
5. 更新履歴
・2021年9月10日 公開
6. 本件に関するお問い合わせ
本件に関するお問い合わせは、下記お問い合わせフォームよりご連絡ください。
https://contact-cc.line.me/detailId/10084
ユーザーの皆さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げます。今後の再発防止とセキュリティ強化に取り組んでまいります。