いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


LINE株式会社がLINE電話/LINE Callの番号詐称問題に公式見解を出したので意見と今後の予想を書いてみる

すっかり春。いやあいい季節になった(挨拶)。

 

■前編はこちら

■続きはこちら

 

LINE株式会社公式ブログにおいてLINE電話/LINE Callの番号詐称問題に『「LINE電話」の仕組みに関するご説明』を出している。

  「LINE電話」の仕組みに関するご説明 : LINE公式ブログ

 

このブログでは「LINE電話/LINE Callが番号詐称できる問題の図解」ということで番号詐称の可能性について書いている。今回はLINE株式会社からの見解が出たので、意見と今後の予想を書いてみたい。最初は感想を書こうと思ったけど、

しか感想が無かった。これで終わるとわざわざブログを書く必要はなくて↑のツイートで完結してしまう。「LINE電話/LINE Callが番号詐称できる問題の図解」を書いた責任もあるので、意見と今後の予想を書くべきだなあと。

問題点の復習

まず、番号詐称の可能性を示す図。再掲する。

f:id:shigeo-t:20140325190711p:plain

意見1 発表方法に問題あり

じゃ、ここから意見。まず1つめ。なぜ公式ブログ?詳細な情報開示に公式ブログを使うのは否定しないし良いことではあるのだが、LINEの公式サイトにもそのニュースリリースにも全く本件が触れられていない。赤い下線を引いたところがLINE電話/LINE Callに関するニュースであるが、サービス発表の2月26日のものとAndroid版先行リリースを発表した3月17日のもの。公式ブログに書いたことはLINEの公式サイトでは全く触れられていない。

f:id:shigeo-t:20140329082543p:plain

f:id:shigeo-t:20140329082947p:plain

 

LINE電話/LINE Callが番号詐称できる問題の図解」にも書いた通り、本件はコンプライアンス問題。技術的な説明だけで許容されるタイミングではない。詳細はこのLINE電話」の仕組みに関するご説明 : LINE公式ブログでいいとしても、公式サイトにも何かのコメントを書いておくべき。ちなみにLINE電話/LINE Callの説明サイトお知らせ - LINE電話 | LINE(ライン)にも何もない(2014/3/29 8:30時点)。

denwaosi 

意見2 問題提起に答えていない

さて「LINE電話」の仕組みに関するご説明 : LINE公式ブログで述べられた内容についての意見。引用する。下線は公式ブログ。

SIMカードを差し替える事で、番号を偽造する手法があるのではないかというご意見がございますが、実際には、本来の電話番号の持ち主に気づかれずに、第三者が電話番号をなりすましたり、偽装をし、悪用をする可能性・発生の頻度は極めて低く、現実的には極めて困難だと考えられます。

実際にはSIMカード差し替えるまでも無く、認証に使われるSMSをなんらかの形で詐取することができれば携帯電話番号の詐称が可能であることは、kanai6274's blog: LINE電話で発信者番号通知の偽装ができる件でも明らか。難しいことはやっていないし、サービスイン当日に検証できている。またまた引用。

LINEは、1つの電話番号につき、1つの端末の認証ができる制度を採用しており、本人の電話番号として入力された番号に、LINE側からSMS発信を行い、それを受信して内容(暗証番号)を確認した後、利用・設定が可能となります。(以下、SMS認証といいます)

  1. 既にSMS認証されているアカウントをSIMカードの差し替え等によって、他の端末でログインした場合、もとの端末ではLINEおよび「LINE電話」が再度SMS認証されるまで利用できなくなります。そのため、通常の利用では発生しませんが、万が一、故意や悪意のある第三者によって自分のアカウントがログインされた場合や、電話番号をなりすまされた場合は、もとの端末を保持している本人のLINEが利用できなくなるため、全く誰にも気づかれずに悪用され続ける可能性は非常に低いです。なお、現時点で日本国内ではLINEユーザーの9割以上の方が既に電話番号によるSMS認証を行っており、国内のユーザー数は5000万人を超えております。
  2. 認証のために電話番号を入力する際、故意や悪意を持って第三者の電話番号や、他の端末の電話番号を入力するなどして、仮にその端末の電話番号と異なる番号の場合でも、SMS認証は、入力した電話番号の端末に届きます。そのため、本人と全く関連のない第三者の任意の番号を利用して身元を偽装することは、道端に落ちていた携帯電話を拾って犯罪利用するような非常に限定的な状況だと想定しています。

 

したがって、1つの携帯番号を複数端末で同時利用することが出来ない仕組みを構築しており、第三者が本人に気づかれずに認証済み電話番号を登録して「LINE電話」を利用することは非常に発生しづらい状況であると考えています。また、架空の電話番号を登録して利用することは、もちろんできません。

 

色々書いているけど、ソーシャルハックや盗み見で、簡単にSMSに来る認証コードを入手できる。フィーチャーフォンの頃はバッテリーが1日持たない人間なんて、仕事でバンバン使いまくる一部の人(営業とかのように出歩くことが多い人)とか、ヘタレたバッテリーを使っている人くらいだったので、自席(会社とか大学の研究室とか)に着いたあとで充電している人は稀だった。しかし、スマートフォンは全然バッテリーの持ちが違う。隙があれば充電という人も少なくない。オレもそう。リアル充電マニア略してリア充(違う)。

こういう手口を書いてしまうのもどうかと思うが、充電状態で放置された携帯電話やスマホでSMSを盗み見できれば、認証コードを見て来たSMSを消してということも可能。LINE電話/LINE Callの初期登録~SMS盗み見・消去までのターンアラウンドタイムは分からないけど、会議1本とか講義1本の間に放置されていたとすれば、多分問題なく登録完了するだろう。そういう意味では、ロックは必須だし他人にロック解除されないようにしなければならない。ロック解除の痕跡がディスプレイに残っているとか、ロック解除で押した数字をのぞき見されたりとかは避けなければいけない。

証拠も手元のSMSメッセージは消去されているので、警察に訴えてもLINE株式会社に捜査の手が入らない限り立証できない。変な電話が増えた原因がLINE電話/LINE Callだと分かった上で、捜査令状を取って調べる話。証拠そのものがLINEのサーバ上にしか残っていないとすると、訴えた側には推測や傍証しかない。警察に訴え出てそこまで話を進める労力を考えると、相当大変そう。

 

また、ソーシャルハックだってハックされる側がSMSなんて分かっていない機械オンチなら簡単。手口を書くのはまず(以下省略)。

  他人の番号を登録しようとするやつA「あのさ、ちょっと間違った。手伝って。」

  携帯電話番号をLINE電話/LINE Callに登録されてしまうB「ん、何?」

  A「ちょっとLINEのサービス申し込む時にBのメアドを間違って入れちゃった。なんか来てない?」

  B「ああ、なんか来てる。開き方教えて。」

    (SMSの開き方の説明、中略)

  A「認証コードとかって書いてない?」

  B「書いてるね。4126って」

  A「ありがと。それ消しといて。Bには関係ないから。」

  B「分かった。どうやって消すの?」

    (SMSの1件削除の方法の説明、後略)

というわけで、AはBの携帯電話(スマホじゃなくてフィーチャーフォンでもOK)のSMSに来る認証コードを詐取完了&証拠隠滅。答えはハトヤで。分かっていない奴の分かっていない度を舐めてはいけない。この例ではAはBの携帯電話に手を触れることなく認証コードを得ることができている。証拠が被害者自らの手で消されてしまえば、立証は困難を極める。

証拠隠滅を後回しにするなら、数字だけ聞き出しておしまい。聞かれた側に何を聞かれたのか悟らせないくらい短いやりとりで済ますという作戦もありうる。

 

ああ確かに「LINE電話」の仕組みに関するご説明 : LINE公式ブログの言うように現実的には極めて困難ですね。

意見3 だから何?

引用する。

なお、このSMS認証による仕様は、大手グローバルメッセンジャー各社が提供するIP電話アプリにて採用されている、国際的にも標準な仕様です。

 『このSMS認証による仕様は、大手グローバルメッセンジャー各社が提供するIP電話アプリにて採用されている、国際的にも標準な仕様です。』って言われてもだから何?としか言えない。番号詐称の可能性を指摘されてて、他社ではなくLINE株式会社に問われているのに、この一文はなんなの?SMS認証が「国際的にも標準な仕様」だと色々免責されるわけ?というか、「国際的にも標準な仕様」って書き方そのものがちょっと際どいけど。国際標準≠国際的にも標準な仕様」だよね。いわゆるデファクトスタンダードってやつ。国際標準はなんらかの国際的な(例えばISOとかIEEEとか)標準化機関があって標準化を国際的に合議して合意した結果。一方デファクトスタンダードが指す意味は「使ってる奴が多い」。番号詐称問題に対してこの言い方はマズいでしょ、お前の会社はどうするのか聞かれているのに。まだ監督官庁(電話絡みだと総務省?)からは公式には聞かれていないのかもしれないけど。 

意見4 相手が違う

引用する。

引き続き、安心して「LINE電話」をご利用ください。

ええまあ、LINE電話/LINE Callのご利用者様各位は心配することはない。LINE電話/LINE Callが番号詐称できる問題の図解 - 自営(文筆業)にっきにも書いた通り、一般的な利用者が気にする話でもないし、一般的な利用者が咎められる話でもない。心配性の人が心配することは否定しないが。

LINE及びLINE電話/LINE Callへの登録は1電話番号で1登録という仕様。そういうわけで、もし番号詐称が行われれば、LINE電話/LINE Callを利用する気が無い人間が被害に逢うわけで、そこへのケアが全くない。

オレもLINEを使うつもりが今のところ無いので、被害に逢う可能性はある。

 

まあこの仕様なら、オレは謎の電話が増えたらこの件を疑うし、当該番号でLINEの登録を掛けてみて、登録済みと分かれば”番号詐称なので取り消し”を申し入れるけど。みんながみんな、これに気付いたりはしないわけで、一般コンシューマ相手の商売としてはまずいんじゃないの?という意見。 

今後の予想

上では何故LINEの公式サイトやニュースリリースが無いのかという意見を書いたが、まだ監督官庁から正式の指導なり要請なりは無い段階かも。正式の指導なり要請なりが来て公式ブログで自社の意見を書いただけで許されるはずもないし。

前回のLINE電話/LINE Callが番号詐称できる問題の図解の予想が外れた。先に明確に指導を入れやすいauSBMの動きのほうが先だと思ったんで。

 

ということで、当たらないことを実証済なのに予想してみる。

次のステージだが、引き続きauSBMがLINE電話/LINE Callからの電話を番号非通知にするか、が見どころ。今回の「LINE電話」の仕組みに関するご説明 : LINE公式ブログから読み取れるのは、LINE株式会社は意外と監督官庁から正式の指導なり要請なりに対して突っ張りそうという感触。突っ張れば、監督官庁はLINE側は放っておいてauSBMにプレッシャーを掛けるのではないかと。

 

LINE株式会社が突っ張らずになんらかの対応をするという線は無くもないが、その時に打てる手は、LINE株式会社にとっては儲けを減らす話になる(コストを掛けて仕様変更=改造)し時間も掛かる。ちょっと薄いかな。

 

あとは、このままグレーな感じでこの話は終わるという可能性もあるけど、後続のサービスも国内投入されていくわけで(楽天が買ったViber Outとか)、グレーなままだとくすぶり続けるし、嫌がらせやストーカー事案としてコレが使用されたことが発覚すると一気に盛り上がる。その時には手遅れだなw

 

 まあ、テクニカルな話は置いといて、企業のCSRとかコンプライアンスとか監督官庁と企業の関係とか、見どころは続くということで。じゃあの。

 

■前編はこちら

■このエントリの続きはこちら