「LINE」へのQRコードログインに脆弱性、1年半以上にわたり556件に被害

LINEによるアナウンス

　LINE（株）は9月10日、QRコードを用いた「LINE」へのログインにPINコードを用いた2要素認証の脆弱性が存在したことを明らかにした。この脆弱性を悪用した不正ログインも発生していたという。

　同社によると、問題があったのは以下のプラットフォーム向けの「LINE」アプリ。対象となるバージョンは明らかにされていない。

• Windows
• Mac
• iPad
• Google Chrome

　QRコードで「LINE」アプリにログインする場合、本来であればPINコードを用いた2要素認証が求められる。しかし、この脆弱性を悪用するとPINコード確認の処理が省略されてしまい、攻撃者が不正にログインできてしまうという。

　本問題は2019年11月25日から2021年7月9日までの1年半以上にわたり悪用可能な状態にあり、被害件数は確認できただけでも556件に上る。日本ユーザーの被害は確認されていないが、不正ログインが成功する2週間前からログアウトするまでのトーク内容、被害者の「LINE」上の友だち・グループ・トークリスト、被害者の公開されていないタイムライン投稿、被害者が「Keep」に保存したコンテンツなどが流出した可能性がある。

　本脆弱性は2021年7月3日に「LINE Security Bug Bounty Program」を通じて報告され、7日に修正された。加えて、7月9日時点で確認された不正なログインをすべて無効化するとともに、8月2日に被害ユーザーへのお詫びの通知を行うなどの対応を行ったという。

　同社は本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化するとしている。QRコードなどのパスワードを用いないログインを悪用するタイプのフィッシングおよびソーシャルハッキングに関する問題に関しても、ユーザーへの注意喚起や機能のレビュー、脆弱性の検査を強化するとのこと。