セキュリティ劇場の喜劇王: LINE
あーあ,これは本格的にダメだな。
いや,前々からおかしな発言をするとは思ってたのよ。
LINE のセキュリティ担当者はご存じないようなので教えてあげやう(←上から目線)
PIN は目の前の端末の「ロック解除」を行う仕組みであり,サービスプロバイダとの認証(authentication)には使えないし使ってはいけない。
パソコンでスクリーンセーバー状態から復帰するときにパスワードを求められたりするでしょ。 あれと同じレベル。
ちょっと考えてみれば分かるだろう。 パスワードよりはるかに弱い,たった4桁の数字列が認証に使えるわけはないのだ(TOTP の数字列ですら6桁だ。比較にならんが)。 今回の措置により犯罪者は狂喜乱舞するだろう。 パスワードを探すよりパスコードを調べるほうがはるかに簡単だからだ。 どうせ殆どのユーザはパスコードに自分の誕生日や「1111」みたいな簡単なコードしか設定しないだろう。 パスコードの総当りなんてたかが知れてるが,総当りをやるまでもない。 しかもこれがキャッシュカード等の暗証番号とかと同じだった日にゃあ,もう顔のニヤニヤが止まらないですよ。
これで世界中に何億ものユーザを抱えているというのが信じられない。 吹かしこいてんじゃないだろーな。
こういうセキュリティに取り組んでいるように見えて実は効果的な対策を何も打ってない状態を「セキュリティ劇場(security theater)」という。 セキュリティ専門家として知られる Bruce Schneier 氏が自著 “Beyond Fear” にて発明した言葉だ。 まさに LINE はチャップリンもびっくりの「セキュリティ劇場」の喜劇王だ。
実は私の周囲には(主に飲み友達に) LINE ユーザが多いのだが,もう無理ッス。 堪えられません。 LINE やめます。
そうそう, LINE アプリを削除してもアカウントは残るので,アプリ上からきちんとアカウントを削除した上でアプリも削除するように。 カウントの削除は(アカウント設定ではなく)「プロフィール設定」にある。 アカウントを削除する前に,念のため,メールアドレス等の連携も解除しておいたほうがいいかも。
それから LINE のエンジニアやセキュリティ担当者は,とりあえず結城浩さんの『暗号技術入門』あたりで,暗号技術のイロハから勉強することを強くお薦めします。 それができたら,「End to End 暗号化」とか「Perfect Forward Secrecy」とか「OTR(Off-the-Record)Messaging」とかいったキーワードを手がかりに知見を広げていただけると幸いです。 ちゃんと出なおしてまともなサービスが出来るようになったら帰っておいで。 あと LINE に群がるゴロツキ企業の顔は(今後のために)覚えておいたほうがいいかも。
ちなみに今の個人的なお薦めは “Conversations” です。 もっと過激な OTR Messaging アプリがお好みなら “Confide” などいかがでしょう。
それではみなさま,連休前の夜を安らかにお過ごしください。
