Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEも実施したiPhoneクローン対策 - 対策アプリで思わぬトラブルも

iTunesのバックアップデータから、同じLINEアカウントにアクセスできるいわゆる「クローン端末」をiPhoneユーザーが作成できるとされた問題に対し、LINEでは2月に公開した「同5.10.0」で対策を講じた。

iPhoneでは、バックアップ機能を用いて別の端末へ環境を容易に復元、移行することができる。これは便利な機能である一方、第三者により、認証された状態のままアプリがバックアップ、復元された場合、復元を行った第三者が認証された状態のアプリを入手することとなる。本来本人しか利用できないはずの個人情報や機密情報などへアクセスされるおそれがある。

こうしたリスクに対しては、端末へパスコードを設定することで、本人の意に反する「複製環境」の作成を防ぐことができるが、パスコードを設定していないユーザーもいる。そのため、こうしたバックアップが本人以外に悪用される懸念は、これまでも指摘されていた。今回のLINEによる対策は、こうした問題に対処したものだが、すでに以前より対策を講じているアプリもある。

そのひとつが「ワンタイムパスワード」の生成アプリ。事前に設定した端末を保有しているユーザーであるか確認する「多要素認証」に用いるアプリであり、クローンを不正に作成されると認証の意味を成さなくなる。そのため、バックアップから復元する場合、パスワードの生成に用いるトークン情報を引き継がないといった仕様を採用しているケースも少なくない。

こうした対策によりセキュリティが強化される一方、ユーザー側で注意すべき点もある。アプリによって手間の大小は異なるが、復元環境でアプリの再設定が必要となることだ。うっかり気が付かずに端末変更などを行うと、思わぬ大きなトラブルにつながるケースもある。

特にワンタイムパスワードの生成アプリの場合、ワンタイムパスワードを参照できないため、本人認証ができず、ログインできなくなる可能性がある。トラブルを避けるためには、事前に二段階認証を解除したり、トークンを失効させ、再度あらたな端末で登録しなおすといった対策が必要となる場合がある。

また、ワンタイムパスワードを参照できなくなるケースは、端末の移行に限らず、端末の紛失や盗難、ハードウェアの故障などで発生する可能性がある。そのことを踏まえると、こうしたアプリを利用する際は、ワンタイムパスワードを参照できなくなった場合の代替認証手段を事前に確認しておくと安心だ。

ちなみに、ワンタイムパスワードの生成アプリのなかには、環境移行の負担を軽減できるよう、トークン情報をアプリ上にQRコードで表示し、別のアプリへ移行できる「エクスポート機能」を用意しているものもある。

しかしこれにも短所がある。第三者によりエクスポート機能へアクセスされた場合、第三者がワンタイムパスワードを生成できる環境を手に入れることとなる。

端末やアプリへパスコードを設定し、第三者がエクスポート機能へアクセスできないよう対策を講じておけば、問題を防ぐことはできるが、利便性と安全性がトレードオフとなる。最近のiPhoneでは、パスコードの代わりに指紋を用いる「Touch ID」なども用意されており、こうした機能を検討してみても良いだろう。

(Security NEXT - 2016/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

「認証番号」を聞かれた時どうする? 設定やシーンごとの対応策などLINEが解説
LINE、捜査機関開示要請の76%に対応 - 不正アクセス関連は1%
「MUFGカード」をかたるフィッシング - 15種類の異なるトップレベルドメインで偽サイトを配信
セゾンカード利用者狙うフィッシング - 「不正行為の防止・抑制」のためとだます
LINE、脆弱性報奨金プログラムの実施状況を発表
「LINE」装うフィッシング - 「ログイン保護を設置」などとだます
iOS版「LINE」にMITM攻撃可能となる脆弱性 - SDKの脆弱性が影響
リソース消費量が多いAndroidアプリ - GoogleやSamsungが上位に
フィッシング報告、2カ月連続で減少 - 800件台に
トレンドら3社、工場内の脅威可視化ソリューションを提供