Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEも実施したiPhoneクローン対策 - 対策アプリで思わぬトラブルも

iTunesのバックアップデータから、同じLINEアカウントにアクセスできるいわゆる「クローン端末」をiPhoneユーザーが作成できるとされた問題に対し、LINEでは2月に公開した「同5.10.0」で対策を講じた。

iPhoneでは、バックアップ機能を用いて別の端末へ環境を容易に復元、移行することができる。これは便利な機能である一方、第三者により、認証された状態のままアプリがバックアップ、復元された場合、復元を行った第三者が認証された状態のアプリを入手することとなる。本来本人しか利用できないはずの個人情報や機密情報などへアクセスされるおそれがある。

こうしたリスクに対しては、端末へパスコードを設定することで、本人の意に反する「複製環境」の作成を防ぐことができるが、パスコードを設定していないユーザーもいる。そのため、こうしたバックアップが本人以外に悪用される懸念は、これまでも指摘されていた。今回のLINEによる対策は、こうした問題に対処したものだが、すでに以前より対策を講じているアプリもある。

そのひとつが「ワンタイムパスワード」の生成アプリ。事前に設定した端末を保有しているユーザーであるか確認する「多要素認証」に用いるアプリであり、クローンを不正に作成されると認証の意味を成さなくなる。そのため、バックアップから復元する場合、パスワードの生成に用いるトークン情報を引き継がないといった仕様を採用しているケースも少なくない。

こうした対策によりセキュリティが強化される一方、ユーザー側で注意すべき点もある。アプリによって手間の大小は異なるが、復元環境でアプリの再設定が必要となることだ。うっかり気が付かずに端末変更などを行うと、思わぬ大きなトラブルにつながるケースもある。

特にワンタイムパスワードの生成アプリの場合、ワンタイムパスワードを参照できないため、本人認証ができず、ログインできなくなる可能性がある。トラブルを避けるためには、事前に二段階認証を解除したり、トークンを失効させ、再度あらたな端末で登録しなおすといった対策が必要となる場合がある。

また、ワンタイムパスワードを参照できなくなるケースは、端末の移行に限らず、端末の紛失や盗難、ハードウェアの故障などで発生する可能性がある。そのことを踏まえると、こうしたアプリを利用する際は、ワンタイムパスワードを参照できなくなった場合の代替認証手段を事前に確認しておくと安心だ。

ちなみに、ワンタイムパスワードの生成アプリのなかには、環境移行の負担を軽減できるよう、トークン情報をアプリ上にQRコードで表示し、別のアプリへ移行できる「エクスポート機能」を用意しているものもある。

しかしこれにも短所がある。第三者によりエクスポート機能へアクセスされた場合、第三者がワンタイムパスワードを生成できる環境を手に入れることとなる。

端末やアプリへパスコードを設定し、第三者がエクスポート機能へアクセスできないよう対策を講じておけば、問題を防ぐことはできるが、利便性と安全性がトレードオフとなる。最近のiPhoneでは、パスコードの代わりに指紋を用いる「Touch ID」なども用意されており、こうした機能を検討してみても良いだろう。

(Security NEXT - 2016/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

フィッシング攻撃が過熱 - サイト件数など過去最多
「ダイヤモンド・プリンセス」運営会社から情報流出 - 2019年中ごろに発生
まつ毛エクステ通販サイトに不正アクセス - 決済画面が改ざん
フィッシングURLは過去最多 - 報告やブランド悪用も増加
4000人超で不正ログイン被害が発生 - LINE
北朝鮮関与の複数マルウェア、米政府が分析情報
1月のフィッシング、報告数減となるもURLは増加
半年でSNS投稿1799万件を非表示に、45%がスパム - LINE
フィッシング報告や悪用ブランドが過去最多に
「Amazonプライムの自動解除」装うフィッシング - CDNを悪用