LINE、「LINE」のQRコードログインにおける二要素認証の脆弱性および不正ログインが発生
発表日時2021/9/10
LINEにて、「LINE」のQRコードログインにおける二要素認証の脆弱性および不正ログインが発生。同社にて提供している「LINE」のWindows/Mac OS/iPad/Google Chrome版において、QRコードを利用しログインを行う際のPINコードを用いた2要素認証に脆弱性が確認され、本来実行されるべきPINコード確認の処理が省略されており、また、脆弱性を悪用した不正ログインが発生した。
「LINE Security Bug Bounty Program」を通じて脆弱性の報告があり、社内で確認したところ存在を確認。不正ログインは、攻撃者が何らかの方法でQRコードのURLを被害者に共有し、URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者がログインを押すことで、本来であればその時点で二要素認証が求められるところ、脆弱性により省略されており、攻撃者のデバイスから不正ログインが成功していた。本件の影響は、脆弱性が存在した2019年11月25日から修正した2021年7月9日の期間中で、不正ログインの被害数は日本国内では確認されていないが、タイで11件、インドネシアで 466件、その他の国で79件の合計556件であり、不正ログインが成功した場合は、トーク内容やLINE上の友だちやグループリスト、タイムライン、Keepに保存したコンテンツが閲覧された可能性がある。
同社は、脆弱性の確認後に修正および被害を受けたユーザーの不正ログインの無効化を実施し、被害ユーザーへのアクセスは出来ないように講じた。また、再発防止策として、今後より一層フィッシングおよびソーシャルハッキングなどの非技術的な残存リスクの確認の強化をするとともに機能のレビュー及び脆弱性検査の強化に努めるとしている。
