Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEも実施したiPhoneクローン対策 - 対策アプリで思わぬトラブルも

iTunesのバックアップデータから、同じLINEアカウントにアクセスできるいわゆる「クローン端末」をiPhoneユーザーが作成できるとされた問題に対し、LINEでは2月に公開した「同5.10.0」で対策を講じた。

iPhoneでは、バックアップ機能を用いて別の端末へ環境を容易に復元、移行することができる。これは便利な機能である一方、第三者により、認証された状態のままアプリがバックアップ、復元された場合、復元を行った第三者が認証された状態のアプリを入手することとなる。本来本人しか利用できないはずの個人情報や機密情報などへアクセスされるおそれがある。

こうしたリスクに対しては、端末へパスコードを設定することで、本人の意に反する「複製環境」の作成を防ぐことができるが、パスコードを設定していないユーザーもいる。そのため、こうしたバックアップが本人以外に悪用される懸念は、これまでも指摘されていた。今回のLINEによる対策は、こうした問題に対処したものだが、すでに以前より対策を講じているアプリもある。

そのひとつが「ワンタイムパスワード」の生成アプリ。事前に設定した端末を保有しているユーザーであるか確認する「多要素認証」に用いるアプリであり、クローンを不正に作成されると認証の意味を成さなくなる。そのため、バックアップから復元する場合、パスワードの生成に用いるトークン情報を引き継がないといった仕様を採用しているケースも少なくない。

こうした対策によりセキュリティが強化される一方、ユーザー側で注意すべき点もある。アプリによって手間の大小は異なるが、復元環境でアプリの再設定が必要となることだ。うっかり気が付かずに端末変更などを行うと、思わぬ大きなトラブルにつながるケースもある。

特にワンタイムパスワードの生成アプリの場合、ワンタイムパスワードを参照できないため、本人認証ができず、ログインできなくなる可能性がある。トラブルを避けるためには、事前に二段階認証を解除したり、トークンを失効させ、再度あらたな端末で登録しなおすといった対策が必要となる場合がある。

また、ワンタイムパスワードを参照できなくなるケースは、端末の移行に限らず、端末の紛失や盗難、ハードウェアの故障などで発生する可能性がある。そのことを踏まえると、こうしたアプリを利用する際は、ワンタイムパスワードを参照できなくなった場合の代替認証手段を事前に確認しておくと安心だ。

ちなみに、ワンタイムパスワードの生成アプリのなかには、環境移行の負担を軽減できるよう、トークン情報をアプリ上にQRコードで表示し、別のアプリへ移行できる「エクスポート機能」を用意しているものもある。

しかしこれにも短所がある。第三者によりエクスポート機能へアクセスされた場合、第三者がワンタイムパスワードを生成できる環境を手に入れることとなる。

端末やアプリへパスコードを設定し、第三者がエクスポート機能へアクセスできないよう対策を講じておけば、問題を防ぐことはできるが、利便性と安全性がトレードオフとなる。最近のiPhoneでは、パスコードの代わりに指紋を用いる「Touch ID」なども用意されており、こうした機能を検討してみても良いだろう。

(Security NEXT - 2016/03/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

フィッシング報告、5000件超で過去最多 - URL件数も高水準
「LINE」にプロフ画像変更される脆弱性 - ゼロデイ攻撃被害も、利用者に確認呼びかけ
MS、月例パッチで脆弱性93件に対処 - 盆休み重なる更新に注意を
7月のフィッシングURL、前月比約1.5倍に - 初の2000件超
A10ら、ビジネス版LINEの私的利用を防ぐソリューション
職員が住民の携帯番号を私的流用、LINEスタンプ送信 - 大阪市
OSSのバージョン管理サービス構成リポジトリ「Central Dogma」にXSSの脆弱性
スマホ決済の利用率は27%、「LINE Pay」がトップ
8割強が「QRコード決済」を認知 - 利用中は15.6%
音楽関係団体ら、無許諾音楽アプリの対策強化をAppleに要請