Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEも実施したiPhoneクローン対策 - 対策アプリで思わぬトラブルも

iTunesのバックアップデータから、同じLINEアカウントにアクセスできるいわゆる「クローン端末」をiPhoneユーザーが作成できるとされた問題に対し、LINEでは2月に公開した「同5.10.0」で対策を講じた。

iPhoneでは、バックアップ機能を用いて別の端末へ環境を容易に復元、移行することができる。これは便利な機能である一方、第三者により、認証された状態のままアプリがバックアップ、復元された場合、復元を行った第三者が認証された状態のアプリを入手することとなる。本来本人しか利用できないはずの個人情報や機密情報などへアクセスされるおそれがある。

こうしたリスクに対しては、端末へパスコードを設定することで、本人の意に反する「複製環境」の作成を防ぐことができるが、パスコードを設定していないユーザーもいる。そのため、こうしたバックアップが本人以外に悪用される懸念は、これまでも指摘されていた。今回のLINEによる対策は、こうした問題に対処したものだが、すでに以前より対策を講じているアプリもある。

そのひとつが「ワンタイムパスワード」の生成アプリ。事前に設定した端末を保有しているユーザーであるか確認する「多要素認証」に用いるアプリであり、クローンを不正に作成されると認証の意味を成さなくなる。そのため、バックアップから復元する場合、パスワードの生成に用いるトークン情報を引き継がないといった仕様を採用しているケースも少なくない。

こうした対策によりセキュリティが強化される一方、ユーザー側で注意すべき点もある。アプリによって手間の大小は異なるが、復元環境でアプリの再設定が必要となることだ。うっかり気が付かずに端末変更などを行うと、思わぬ大きなトラブルにつながるケースもある。

特にワンタイムパスワードの生成アプリの場合、ワンタイムパスワードを参照できないため、本人認証ができず、ログインできなくなる可能性がある。トラブルを避けるためには、事前に二段階認証を解除したり、トークンを失効させ、再度あらたな端末で登録しなおすといった対策が必要となる場合がある。

また、ワンタイムパスワードを参照できなくなるケースは、端末の移行に限らず、端末の紛失や盗難、ハードウェアの故障などで発生する可能性がある。そのことを踏まえると、こうしたアプリを利用する際は、ワンタイムパスワードを参照できなくなった場合の代替認証手段を事前に確認しておくと安心だ。

ちなみに、ワンタイムパスワードの生成アプリのなかには、環境移行の負担を軽減できるよう、トークン情報をアプリ上にQRコードで表示し、別のアプリへ移行できる「エクスポート機能」を用意しているものもある。

しかしこれにも短所がある。第三者によりエクスポート機能へアクセスされた場合、第三者がワンタイムパスワードを生成できる環境を手に入れることとなる。

端末やアプリへパスコードを設定し、第三者がエクスポート機能へアクセスできないよう対策を講じておけば、問題を防ぐことはできるが、利便性と安全性がトレードオフとなる。最近のiPhoneでは、パスコードの代わりに指紋を用いる「Touch ID」なども用意されており、こうした機能を検討してみても良いだろう。

(Security NEXT - 2016/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

フィッシング報告、URLともに3カ月連続で増加 - 偽Appleは短縮URLを愛用
LINEのフィッシング、「2段階パスワードに更新した」とだます手口
6月はフィッシングサイトが1.5倍に - フィッシングメールは週末狙う傾向
子どもの4人に1人がSNSでトラブル - 不正ログインや架空請求も
「LINE」装うフィッシング攻撃に注意 - 複数サイトが確認される
「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大
LINE、「マイナポータル」と連携 - 2017年中に電子申請案内サービス
7%がSNSなどでアカウント乗っ取り被害を経験 - LINE利用者対象の調査で
5月のフィッシング報告数は386件 - 大半は「アカウントの不正利用」で不安煽る
ランサムウェア「AES_NI」「BTCWare」被害者向けに復号化ツール