Baldanders.info

セキュリティ劇場の喜劇王: LINE

あーあ,これは本格的にダメだな。

いや,前々からおかしな発言をするとは思ってたのよ。

LINE のセキュリティ担当者はご存じないようなので教えてあげやう(←上から目線)

PIN は目の前の端末の「ロック解除」を行う仕組みであり,サービスプロバイダとの認証(authentication)には使えないし使ってはいけない。

パソコンでスクリーンセーバー状態から復帰するときにパスワードを求められたりするでしょ。 あれと同じレベル。

ちょっと考えてみれば分かるだろう。 パスワードよりはるかに弱い,たった4桁の数字列が認証に使えるわけはないのだ(TOTP の数字列ですら6桁だ。比較にならんが)。 今回の措置により犯罪者は狂喜乱舞するだろう。 パスワードを探すよりパスコードを調べるほうがはるかに簡単だからだ。 どうせ殆どのユーザはパスコードに自分の誕生日や「1111」みたいな簡単なコードしか設定しないだろう。 パスコードの総当りなんてたかが知れてるが,総当りをやるまでもない。 しかもこれがキャッシュカード等の暗証番号とかと同じだった日にゃあ,もう顔のニヤニヤが止まらないですよ。

これで世界中に何億ものユーザを抱えているというのが信じられない。 吹かしこいてんじゃないだろーな。

こういうセキュリティに取り組んでいるように見えて実は効果的な対策を何も打ってない状態を「セキュリティ劇場(security theater)」という。 セキュリティ専門家として知られる Bruce Schneier 氏が自著 “Beyond Fear” にて発明した言葉だ。 まさに LINE はチャップリンもびっくりの「セキュリティ劇場」の喜劇王だ。

実は私の周囲には(主に飲み友達に) LINE ユーザが多いのだが,もう無理ッス。 堪えられません。 LINE やめます。

そうそう, LINE アプリを削除してもアカウントは残るので,アプリ上からきちんとアカウントを削除した上でアプリも削除するように。 カウントの削除は(アカウント設定ではなく)「プロフィール設定」にある。 アカウントを削除する前に,念のため,メールアドレス等の連携も解除しておいたほうがいいかも。

それから LINE のエンジニアやセキュリティ担当者は,とりあえず結城浩さんの『暗号技術入門』あたりで,暗号技術のイロハから勉強することを強くお薦めします。 それができたら,「End to End 暗号化」とか「Perfect Forward Secrecy」とか「OTR(Off-the-Record)Messaging」とかいったキーワードを手がかりに知見を広げていただけると幸いです。 ちゃんと出なおしてまともなサービスが出来るようになったら帰っておいで。 あと LINE に群がるゴロツキ企業の顔は(今後のために)覚えておいたほうがいいかも。

ちなみに今の個人的なお薦めは “Conversations” です。 もっと過激な OTR Messaging アプリがお好みなら “Confide” などいかがでしょう。

それではみなさま,連休前の夜を安らかにお過ごしください。

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 暗号解読―ロゼッタストーンから量子暗号まで スティーリング・ザ・ネットワーク―いかにしてネットワークは侵入されるか 信頼と裏切りの社会 新版暗号技術入門 秘密の国のアリス

by G-Tools , 2014/07/17

photo
信頼と裏切りの社会
ブルース・シュナイアー 山形 浩生
エヌティティ出版 2013-12-24
評価

殺人ザルはいかにして経済に目覚めたか?―― ヒトの進化からみた経済学 不確実性下の意思決定理論 モンティ・ホール問題 テレビ番組から生まれた史上最も議論を呼んだ確率問題の紹介と解説 自己が心にやってくる ルールに従う―社会科学の規範理論序説 (叢書《制度を考える》)

by G-Tools , 2014/07/17
この本は Benesse の中の人も是非読んで欲しい(笑)

photo
新版暗号技術入門 秘密の国のアリス
結城 浩
SBクリエイティブ株式会社 2013-12-04
評価

プログラマの数学 インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門 数学ガール/ゲーデルの不完全性定理 数学ガール/フェルマーの最終定理 数学ガール/乱択アルゴリズム

by G-Tools , 2014/07/17