Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEも実施したiPhoneクローン対策 - 対策アプリで思わぬトラブルも

iTunesのバックアップデータから、同じLINEアカウントにアクセスできるいわゆる「クローン端末」をiPhoneユーザーが作成できるとされた問題に対し、LINEでは2月に公開した「同5.10.0」で対策を講じた。

iPhoneでは、バックアップ機能を用いて別の端末へ環境を容易に復元、移行することができる。これは便利な機能である一方、第三者により、認証された状態のままアプリがバックアップ、復元された場合、復元を行った第三者が認証された状態のアプリを入手することとなる。本来本人しか利用できないはずの個人情報や機密情報などへアクセスされるおそれがある。

こうしたリスクに対しては、端末へパスコードを設定することで、本人の意に反する「複製環境」の作成を防ぐことができるが、パスコードを設定していないユーザーもいる。そのため、こうしたバックアップが本人以外に悪用される懸念は、これまでも指摘されていた。今回のLINEによる対策は、こうした問題に対処したものだが、すでに以前より対策を講じているアプリもある。

そのひとつが「ワンタイムパスワード」の生成アプリ。事前に設定した端末を保有しているユーザーであるか確認する「多要素認証」に用いるアプリであり、クローンを不正に作成されると認証の意味を成さなくなる。そのため、バックアップから復元する場合、パスワードの生成に用いるトークン情報を引き継がないといった仕様を採用しているケースも少なくない。

こうした対策によりセキュリティが強化される一方、ユーザー側で注意すべき点もある。アプリによって手間の大小は異なるが、復元環境でアプリの再設定が必要となることだ。うっかり気が付かずに端末変更などを行うと、思わぬ大きなトラブルにつながるケースもある。

特にワンタイムパスワードの生成アプリの場合、ワンタイムパスワードを参照できないため、本人認証ができず、ログインできなくなる可能性がある。トラブルを避けるためには、事前に二段階認証を解除したり、トークンを失効させ、再度あらたな端末で登録しなおすといった対策が必要となる場合がある。

また、ワンタイムパスワードを参照できなくなるケースは、端末の移行に限らず、端末の紛失や盗難、ハードウェアの故障などで発生する可能性がある。そのことを踏まえると、こうしたアプリを利用する際は、ワンタイムパスワードを参照できなくなった場合の代替認証手段を事前に確認しておくと安心だ。

ちなみに、ワンタイムパスワードの生成アプリのなかには、環境移行の負担を軽減できるよう、トークン情報をアプリ上にQRコードで表示し、別のアプリへ移行できる「エクスポート機能」を用意しているものもある。

しかしこれにも短所がある。第三者によりエクスポート機能へアクセスされた場合、第三者がワンタイムパスワードを生成できる環境を手に入れることとなる。

端末やアプリへパスコードを設定し、第三者がエクスポート機能へアクセスできないよう対策を講じておけば、問題を防ぐことはできるが、利便性と安全性がトレードオフとなる。最近のiPhoneでは、パスコードの代わりに指紋を用いる「Touch ID」なども用意されており、こうした機能を検討してみても良いだろう。

(Security NEXT - 2016/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

8割強が「QRコード決済」を認知 - 利用中は15.6%
音楽関係団体ら、無許諾音楽アプリの対策強化をAppleに要請
セブン&アイHD、OpenIDによるアプリへのログインを一時停止
フィッシングURLが最多記録を更新 - 報告やブランド悪用被害も増加
石井スポーツ通販サイトに不正アクセス - クレカ情報流出の可能性
Linux SACK処理の脆弱性、VMwareの31製品に影響
LINE海外法人の求人サイトに脆弱性、外部報告で判明 - 調査以外の形跡確認されず
WP向け出勤管理プラグインなどに複数脆弱性
ネット6社が「サイバー防災訓練」 、テーマは「アカウント」 - テーマ曲はみやぞんさん
ネット上の行動、親子で定期的に話す15% - グローバルと大きな差