連日、LINEのセキュリティ関連のニュースが話題になっていますね。
既に一般的に広く普及しているLINEがありえない問題を起こした事により、どのような影響があるのか気になったので調べてみました。
※個人の感想を含みます
そもそも何があったのか?
事の発端は、LINE利用者の個人情報が中国企業に筒抜けだったというニュースでした。
正しくは、システムの管理を委託されていた中国の会社の技術者からアクセス可能な状態になっていて、実際に中国の技術者から少なくとも32回、日本のサーバーにアクセスがあったことが確認されているとのことだ。
https://www.itmedia.co.jp/business/articles/2103/22/news122.html
どこまでの情報にアクセスできる状態になっていたかというと
氏名や電話番号、メールアドレス、IDなどを中国の関連企業が閲覧できる状態にしていた。
https://mainichi.jp/articles/20210323/ddm/005/070/100000c
(中略)
さらに、利用者間でやり取りされる画像や動画が韓国内で保管され、現地子会社の社員がアクセスできたことも判明した。
- 中国の技術者・・・アカウント情報
- 韓国の現地子会社の社員・・・LINE内の画像/動画
という事だそうです。
アカウント情報が分かればログインできてしまうわけですから、実質的に中国の技術者はLINE内の個人情報全てにアクセス可能になっていたとも言えます。
ちなみに「なぜ韓国が出てくるのか?」かというと、もともとLINEの親会社はNAVERという韓国企業の為、画像や動画は韓国のデータセンターで管理しているそうです。
※IDや電話番号、メールアドレスなどの基本情報は日本のデータセンターで管理しているそうです。
とはいえ、LINEのセキュリティがガバガバだというのは、なんとなく分かっていた方も多いのではないでしょうか?
芸能人や政治家など、度々LINE内容の流出からスキャンダルに発展することがありましたからね。
そういったことから技術的なことに詳しくない私でも、以前からLINEのセキュリティが甘いとは思っていましたが、それにしてもまさか外部からの攻撃に対してではなく、ただただシンプルに内部の個人情報の取り扱いがずさんだったとは・・・ちょっと衝撃過ぎました。
「小銭欲しさに誰かから依頼を受けて、特定の個人情報を売っていた人もいるんじゃないのか?」と勘ぐってしまいます。
ちなみにLINEにはメッセージを暗号化して、送信者と受信者以外にはメッセージ内容を解読できないようにする「Letter Sealing」という設定があります。
こんな機能があっても、内部から閲覧できては意味がありませんね・・・笑
敵は外部じゃなくて内部にいたという悲惨な話です。
なかには「別に見られて困るようなやりとりをした事はない」という理由で、今回の騒動を無関係の出来事だと思っている方もいるかもしれませんが、果たしてそうでしょうか?
外部サービスの情報も例外ではない
LINEをめぐっては、利用者がメッセージをやりとりする「トーク」で使われた画像や動画データが韓国内のサーバーで保管されていることが表面化。LINEは17日の発表文で、韓国内のサーバーには画像や動画データのほか、「LINE Pay」利用者の取引情報も保管されていることに言及していた。
https://www.huffingtonpost.jp/entry/story_jp_60593aafc5b6d6c2a2a96c50?ncid=tweetlnkjphpmg00000001
同社は朝日新聞の取材に対し、この取引情報には利用者の出入金や決済、送金データが含まれていると説明。さらに、「LINE Pay」加盟店の銀行口座番号や企業情報が保管されていることも明らかにした。
補足しておくと、利用者の基本情報(住所/氏名など)は日本国内に保管されているそうです。
上記は主に「LINE PAY」についてですが、他にもLINEには「LINEドクター」というオンライン診察が受けられる便利なサービスがありますが、そういった外部サービスにLINEを通して送信した画像は(社員がアクセス可能だった)韓国サーバーに保管されているというのは、ちょっと怖いですよね。
利用したサービスによっては「保険証」や「免許証」「パスポート」などの本人確認書類が、第三者に見られる状態で保管されていたわけですから。
利用者の個人情報が閲覧できる状態だったというだけで大問題ですが、それに輪をかけて、最近では地方自治体が「問い合わせ」や「公的書類の申請」などをLINEを通してできるようにしていましたが、その行政の情報すら例外では無いという事です。
一部の人間とはいえ「第三者がアクセスできる状態」というのは、「うっかり」だとか「管理が甘かった」レベルの話しではなく、流出/漏洩と変わらないと思うのは私だけでしょうか?
話を戻すと、あなた自身のアカウントが無事であっても、外部サービス経由でたくさんの個人情報が流出してる可能性があるという事です。
情報漏洩の怖いところは、一度流出してしまった情報は回収しづらいという事と、必ずしもすぐに被害が判明するわけではないというところであり、思わぬ時に思わぬ形で被害を被る可能性があります。
行政の対応
当然ですが今回の件で総務省はLINEを通じて提供している行政サービスの運用を停止する考えを示しました。
例えば大阪府/大阪市は既にLINEを使った行政サービスの提供を停止することを決め、三重県鈴鹿市は新型コロナウイルスのワクチン接種の予約をLINEでも行えるよう準備していましたが、見合わせることにしたようです。
参考:https://www3.nhk.or.jp/news/html/20210319/k10012923421000.html
このように自治体ごとにLINEを使って何ができるのか?というのは異なりますが、それぞれ「LINEを用いたサービスを停止する」方向で動いてるようです。
まさか「外部サービスとはいえ、行政が利用しているものでこんなに酷い個人情報管理の問題が起こるとは!」と、衝撃を受けた方も多いのではないでしょうか。
なんだかんだいっても、どこかで国(行政)を信頼している面がありますから。
これからは誰が何を使っていても、自分自身で判断しないといけませんね。勉強になりました。
LINE側の対応
3/23の報道によると
メッセージアプリ「LINE」のユーザー情報が、アプリのシステム開発を請け負う海外の子会社からアクセスできる状態になっていた問題を受け、LINEは3月23日、コミュニケーション関連機能の開発や保守、運用について中国での業務を終了すると発表した。これまで韓国のデータセンターに保存していた画像や動画などのデータを、日本に移転することも明かした。
https://www.itmedia.co.jp/news/articles/2103/23/news124.html
とのことで、国内で管理するようになるみたいですね。
また、現時点で情報の漏洩/流出は確認されていないとのこと。
感想
正直、今回の件で実害があったかどうか?に関わらず、今すぐLINEアプリの利用を辞めるには十分過ぎる出来事だとは思うのですが、結局、私も含めて皆さんそのまま使い続けるんでしょうね 笑
今後、行政がどうするか(一時停止して再開するのか)は分かりませんが、一部を除く大半の方が「実害ないからいいや」という感じで捉えてると思いますし、個人間で使い続けられる限り民間企業も客へのサービスに取り入れ続けるでしょうし、そこまでLINE離れには繋がらない気がします。
実際私も友人とのやりとりには相変わらずLINEを利用すると思います。(LINE上で個人情報の写真を送る真似はしないと心に誓いました)
個人的に少し気になるのは、ただでさえフットワークの重い行政が、今後こういった外部サービスを取り入れるのに及び腰になるのではないか?とも懸念してます。
私たち利用者からすれば、例え予約/受付だけであっても、普段利用しているスマホアプリで受付してもらえるというのは便利ですが、今後は市民に対して「これを導入したら利便性が高くなる」と思ったとしても、すぐには取り入れづらくなるでしょうね。
今回みたいな事が起これば元も子もないですし、仕方がない事だとは思いますが。
個人情報流出への懸念と安全性を考慮した結果、各地方自治体がものすごく使い勝手の悪い独自アプリを提供したり・・・とかはあり得そうな気がします 笑
とにかく、色々な意味で今回のLINEの件は相当罪深い出来事だと思います。
プライバシーが気になる方におすすめのサービス
以下、自衛のためのセキュリティ強化のサービスです。
メール
まず、メールなら先日紹介した「ProtonMail」がおすすめです。
このメールの何が凄いのか?というと、Protonmail間は勿論、Protonmailを利用していない人にも暗号化したメールを送信できる為、相手の端末から直接見られる以外に送信した内容を第三者に見られる心配がないという点です。
「なぜ相手がProtonmailを利用していなくても暗号化できるのか?」というと、技術的な事を省いて簡単に説明すると、相手にパスワードでロックされたメール送ることができ、受信者はメールに記載されたURLをクリックしパスワードを入力することでWEBサイトに内容が表示される仕組みになっているからです。
メッセンジャーアプリ
メッセンジャーアプリの場合、相手も同じアプリを利用していないと使えないという欠点があるので、今すぐLINEから乗り換えるにはなかなか難しいかもしれませんが、以下のアプリがおすすめです。
まず、一番のおすすめは「Signal」です。
通信内容が自動的にエンドツーエンドで暗号化されるという、非常に秘匿性の高いメッセンジャーアプリです。
詳しい事が分からなくても、あのエドワード・スノーデンがその秘匿性を高く評価したというだけで信頼できると思います。
メニュー画面が日本語に対応している点も良いですね。
Telegramも同様におすすめです。
Signalではデフォルトでエンドーツーエンド暗号化がされますが、Telegramではサーバーに対して暗号化しています。
とはいえ、Telegramも「シークレットチャット」を利用することによりエンドーツーエンド暗号化が可能です。
ちなみに私は仮想通貨投資をしているのですが、仮想通貨のコミュニティはTelegramが多く、個人的にはTelegramの方が馴染みがあります。
ただし、Telegramの言語に日本語がないのは欠点です。(勿論、メッセージなどは日本語は打てます)
VPN
一部を除いてなかなか必要と感じる方は少ないかと思いますが、セキュリティ関連の話なので一応VPNもご紹介します。
VPNとは簡単に説明すると「インターネットに安全にアクセスする為に必要なもの」です。
上記で紹介した「メール」や「メッセンジャーアプリ」は、それぞれお互いのやりとりのセキュリティを向上させるものですが、「VPN」は「そもそもインターネットへの接続を安全にする」という感じですね。
なかなかピンと来ないかもしれませんが、たとえば外でFREE WIFIに接続した際などは、通信内容が第三者に盗み見されて、その結果仕事の情報や個人情報が盗まれるという危険性がありますが、VPN接続することによって通信を暗号化してセキュリティを高めることができるわけです。
よくわからない方は、「外でよくわからないFREE WIFIを使う人は使っておいた方が良いサービス」という程度の認識で良いと思います。(厳密にはもっとメリットがありますが)
VPNを利用していると下記のようなアプリで見つかったFREE WIFIに躊躇なく接続できますし。
VPNは有料サービスが基本ですが、一部制限はあるものの無料のものもあります。
おすすめは先ほど紹介した「ProtonMail」と同じ会社が提供している「ProtonVPN」です。
英語というデメリットはあるものの、通信制限がないので無制限で使える上、ProtonMailと同じアカウントが使える手軽さも○
パソコンでもスマホでも利用できます(無料アカウントは1デバイスまでです)
ブラウザ
VPNのように「インターネット接続全体」のセキュリティは気にしなくとも、ネットサーフィンをよくする方の場合、間違ってやばいサイトを開く可能性を懸念してる方もいると思います。
そういった方におすすめなのがBraveというブラウザです。
Braveは、トラッキング(サイトによる追跡)を防止したり、優秀なアドブロックで邪魔な広告を消してくれることによって表示スピードが速くなったりと、セキュリティ面以外にもメリットがある非常に優秀なブラウザです。
正直、私のこのブログもGoogleアドセンスを貼っているので、アドブロック使われると収益が減って損をするのですが 笑
それでもおすすめしたいブラウザです。
コメント