記事

LINEの危険性について

更新日:

前回はPayPayの危険性について取り上げましたが、それ以上に危険なアプリケーションでもあるLINEについて、具体的な事例を交えて、その危険性を見ていきたいと思います。

LINEとは

LINE株式会社が運営・開発するモバイルメッセンジャーアプリケーションで、2007年に社長に就任した森川亮の下にて開発されたサービスです。当初は韓国のNAVER社の完全子会社でしたが2021年にはソフトバンクグループ傘下のZホールディングス(旧ヤフー)の完全子会社となっています。

LINEが絡んだ事件・問題

性犯罪などの犯罪行為に利用される問題

LINEを介して発生する恐喝や援助交際などの事案は2012年頃から多発傾向ですが、LINEのみを通じて見知らぬ人と連絡先を交換する「出会い系」に類した機能はLINEにないため、LINE以外の掲示板、サイト、アプリを通じてLINE IDを交換している事案が多くみられます。こういった事案を通じて少女の性被害が多発しており、その9割がスマホの経由であり、大半がLINEを使用しているというデータもあります。

LINE ID交換を目的とする掲示板等のサービスは出会い系サイトと異なり、出会い系サイト規制法による規制や有害サイト規制法によるフィルタリングの対象外であるため警察も要請対応に止まり、LINE運営はこれらサービスに注意喚起と18歳未満ユーザのID検索機能利用を随時禁止で対応しています。

性的犯罪対策としては

  • 利用者と保護者に対する適正利用の広報
  • 児童ポルノ事件や児童買春の温床になりやすい「掲示板アプリ」の悪用防止
  • 利用者が違法有害情報に容易にアクセスできない仕組みづくり

などがあります。

個人情報漏洩と対策不十分問題

LINEについては普及拡大に比して個人情報を預けることを不安視する声が増大しています。

次のようなさまざまま問題点が上がっています。

  1. 電話帳の登録内容を当人の許諾を得ずに無断で第三者に供出(アップロード)すること。
  2. 電話番号をアカウントIDとしているため電話番号を元にLINEでコンタクトを取ってくる危険性。
  3. 電話番号を以前利用していた者のソーシャルグラフ漏洩や、PC版を利用した無作為の電話番号登録で個人LINE登録名と電話番号が紐付けられるといった危険性。
  4. 2013年4月3日LINEは情報管理が安全に行われていることを示す世界的な保証報告書を世界初の3種類同時取得したと発表しましたが、これ以降も複数回にわたる個人情報の漏洩や不備を起こしています(後述)。取得した『3種類』のうちSOC3は開示範囲が限定されたSOC2を広く一般に公開するための簡易版であり、マーケティング用の認証であります。

以上のような理由でLINEの情報管理の信頼性に大きな疑問を残しています。

韓国政府によるデータ傍受問題

2014年6月18日韓国政府がLINEのデータ(無料通話およびテキストメッセージ)を傍受しているとFACTAオンラインが報じました。

同記事では韓国政府のサイバーセキュリティ関係者が、LINEでやりとりされるデータを大韓民国国家情報院が収集・分析していることを、日本の内閣官房情報セキュリティセンターとの協議の場であっさりと認めたとされています。

併せて、通信回線から直接データを収集(傍聴)するワイヤータッピング (英語版)は「通信の秘密」を守る法律が無い韓国では違法ではないと韓国側が主張しています。

この報道に対してLINE株式会社社長の森川亮は、ブログにおいてそのような事実はないと抗議、LINEの通信データに不正アクセスの形跡は無く、独自の暗号化データ形式を採用しているためデータの解析は不可能であると主張していますが、問題が発覚するまで、パスワードやメッセージの電文は平文で保存、送信されていました。

LINEアカウント乗っ取り事件

2014年6月アカウントを乗っ取り、LINE上で特殊詐欺を行う事件が相次いで発生しました。

手口は流出したパスワードで不正にログインし、日本国内の知人になりすまして被害者からウェブマネーを詐取する手口で、芸能人も例外ではなくLINEアカウントが何者かに乗っ取られたと報告されています。

事件が頻発した同年6月から10月にかけて、警視庁は東京都内だけで368件の被害を確認しており、他国の言語(中国語など)を使用して被害を未然に防いだという報告例から、国際的詐欺事件の可能性が指摘されています。

いじめに利用される問題

文部科学省の学校のいじめ調査で、PCや携帯電話を使用したいじめが増加していると発表があり、特にネットいじめの中でもLINEを悪用したいじめが深刻化しているようです。

子供同士の個別の通信であるために周囲から確認するのが難しく、LINEいじめの対策は追いついていないのが実情であります。

LINEを使ったいじめの実例

  • 嫌いな相手をグループから外して悪口や誹謗中傷を言い合う(グループから外さず直接言い合うケースもある)
  • いじめる相手を辱める写真などをLINEをつかって拡散するなど。

またこうしたLINEいじめは夏休みに加速する現状があります。

未成年者が不正アクセスで書類送検された事件

2019年夏、日本・関東地方に住む未成年者2人が「LINEの画像用サーバーに脆弱性がある」との情報が出回っていたのを知り、自宅のパソコンを使いLINEの画像サーバーに不正に接続した(不正アクセス禁止法違反)疑いで、地方検察庁に書類送検された事が2020年6月に伝えられました。2人は調べに対して「本当か試してみたかった」と供述しています。

不祥事

脆弱性の指摘を無視

IPA(独立行政法人情報処理推進機構)は、LINEのトーク履歴や写真を外部から盗み出せたり、SDメモリーカード内のデータも丸見えになるなど、複数の致命的なソフトウェア脆弱性があることを通知しました。

LINE側は複数の脆弱性を指摘されながら、一部の脆弱性しか認めず解決を図ろうとはしなかったため、IPAが何度も通知を行い、LINE側がようやく認めたことを、FACTAオンラインが報じました。

LINEゲームの法令違反疑惑

LINEのスマホゲーム「LINE POP」の課金アイテムが資金決済に関する法律に違反する疑いがあるとして、財務省関東財務局が立入検査をしました。

資金決済法では、プリペイドカードやゲーム内のポイントなど、あらかじめ代金を支払い、買い物時に決済するものを「前払式支払手段」と定義しており、発行者が破たんした場合などにユーザーを保護するため、未使用残高が1000万円を超えたときはその半額以上を法務局などに供託することを義務づけています。しかし、LINEは「前払式支払手段に当たらない」として供託金を納めていなかったという内容です。

その後は、前払式支払手段に認定されたということで、120億円以上の供託金が必要になりましたが、LINEは、供託金を納める代わりに銀行に保証金を支払って保全契約を結ぶ形を採っており、キャッシュアウトは数千万円程度にとどまっています。

LINEゲームがApp Storeの規約違反で1か月間配信停止

「LINE QUICK GAME」がAppleのApp Store アプリケーションの審査で規定(規約)に違反しているなどとして「LINEで発見!! たまごっち」「探検ドリランド ブレイブハンターズ」「釣り★スタ QUICK」等の計8タイトルが1か月間配信停止の措置を受けました。

主な理由は、アップルの規約では決済時にアップルのIDを通す必要があるがクイックゲームはこの仕組みをつかえないということで、LINEの決済の仕組みを使うと規約違反になるということです。

LINEヘルスケアにおける医師による利用者への暴言発言

2020年8月3日、有料サービスの「LINEヘルスケア」に登録している医師1人が、利用者に対して暴言を吐くといった利用規約に違反する行為があったことを謝罪しました。

LINEヘルスケアは、LINE上で医師に健康相談ができるサービスとして、2019年12月にβ版を開始。コロナの追い風もあり、3月には経済産業省の支援事業に採択されて無償でのサービス提供を開始するなど、存在感を強めていました。

内容は、LINEヘルスケア上でユーザーの健康相談にのっていた医師(精神科)が「結論としては、死ぬのが正解となりますし、たぶん正解なんでしょう」「言葉にできないやつはガキンチョだということですよ」と、このような返答をしていたのでtwitterで炎上したということでした。

LINE GAME払戻し申請者の個人情報漏洩

2018年4月12日から2020年9月20日までの間、LINE GAME終了サービスに対する払戻し申請フォームに登録した個人情報が、インターネットアーカイブにおいて閲覧可能な状態であったことを2020年9月25日発表しました。漏洩した情報は、計18人分の銀行口座情報やメールアドレス、LINEアプリ内部識別子等で、問題発覚後に当該アーカイブは削除されたようです。

それよりも問題が発覚し、明らかとなった外部アーカイブの存在と協力を要請している外部スキャンサービスについては何の説明もありません。

LINEスタンプ販売サービスの利用者データ漏洩

LINEスタンプの制作や販売ができる「LINE Creators Market」において、サービス開始当初の2014年4月17日から2020年10月31日までの間LINEスタンプ販売者がアップロードした個人情報を含む可能性のあるファイルが、誰でもアクセス可能な状態で公開されていたことを2020年11月18日発表しました。

漏洩していたデータはインターネットアーカイブの収集データにも含まれ、同サイトからも誰でもアクセスできる状態にありました。

同社によると、認証の設定に問題があり、氏名や住所と言った個人情報が含まれている審査申請時のファイルなどが、外部よりアクセス可能となっていたというものでした。

韓国、中国などの国外委託会社のサーバーでの利用者データの保管・閲覧

2021年3月17日、LINE利用者の全ての画像・動画データとLINE Payの取引情報がLine社への出資会社の一つであるネイバー社のサーバーに保管されていると報じられました。

これらにはLINEの韓国子会社であるLINEプラスの社員がセキュリティチェックの為のアクセスができる権限が付与されていたようです。現行のプライバシーポリシーでは利用者に解りにくく、状況が十分に伝わっていないことからLINE株式会社は記述を見直しを進めています。

LINEのデータセンターは世界複数箇所に存在しており、「LINE」上のやりとりに関するデータは、大きくトークテキストと画像・動画等に分類されるが、ユーザーのトークテキストおよび会員登録情報などのプライバシー性の高い個人情報は日本国内のサーバーで管理されており、日本の法規法令に基づく同社のデータガバナンス基準に準拠して適切に取り扱っているということらしいです。

画像や動画などのデータは、韓国のデータセンターにて適切なセキュリティ体制のもとで管理が行われているとしています。

日本のデータセンターではトークテキスト・LINE ID・電話番号・メールアドレス・友だち関係・友だちリスト・位置情報・アドレス帳・LINE Profile+(氏名、住所等)、音声通話履歴(通話内容は保存無し)、LINE内サービスの決済履歴などのデータが保管されています。

韓国のデータセンターには画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報などのデータが渡っているということです。

「テキストメッセージ、1対1の通話」の内容のみLINE開発のエンドツーエンド暗号化プロトコル「Letter Sealing」を用いて暗号化されるため、データベースへアクセスされても「テキストメッセージ、1対1の通話」の内容は確認できないとしていますが相手先で「Letter Sealing」機能を無効に設定している場合は送信者が同機能を有効に設定していても「Letter Sealing」は動作しないことになります。

中国においては、LINEの子会社LINE Plus Corporationの子会社であるLINE Digital Technology (Shanghai) Limited(大連)と、NAVER Corporationの中国法人であり、LINEの業務委託先であるNAVER China(北京)の2拠点で開発業務を行っています。

業務は国内大手業務代行業者のグループ会社の中国現地法人への委託であり、LINE Fukuokaのセキュリティチームにてセキュリティ体制の点検を行っているとしています。

LINEは行政サービスの提供や新型コロナウイルス通知などの手段として、日本政府や地方自治体に活用されていましたが、これらの報道を受けて、総務省は3月19日にLINEサービスの使用を一時中止し、各自治体に利用状況確認等の調査依頼を実施することを、記者会見で発表しました。

3月17日に福岡市は、市民の入力する個人情報やトークの内容などは中国での委託企業から閲覧可能であったものには含まれず、アクセスできる状況にはなかったことをLINE Fukuoka株式会社から確認が完了した為、行政使用を継続すると説明したようです。

兵庫県は3月25日、Line株式会社から個人情報への不正アクセス及び情報漏洩はしていない事が確認できた為、Line上での新型コロナ対策サービス等を継続するとしました。

4月1日から大阪市は機密情報を扱わないLine上でのサービスを再開しました。

自民党の甘利明議員は2021年4月9日、LINEと親会社のZホールディングスの両社は対策として、高額な設備投資により更に高度なサイバーセキュリティの防御システムとしてNIST(アメリカ国立標準技術研究所)のSP800-171に準拠するレベルのシステムの導入、日本と同等の情報保護ルールがある国にしかデータを移転しない(中国は国家情報法がある為この中(移転先)には含まれない)対応策等を約束したとしました。

LINEオープンチャットで本社がサクラ投稿を指示

週刊文春によりLINEの新サービス「オープンチャット」で社員が女子高生やキラキラ女子など一般ユーザーに成りすまして投稿をするサクラ投稿について取り上げられました。

サクラ投稿はスタッフが独断で行っているわけではなく本社が作成した「Talk-room Operation」というサクラ投稿のマニュアルがありそれに従ってサクラ投稿をしていたと記述されています。

LINEはサクラ投稿の理由について「オープンチャット全体の質・ユーザー満足度向上や、良質となるトークルームの作成を目的に行っていた」と釈明していますが、社員が一部のトークルームの運営に関与し、監視することで未成年のユーザーなどを保護したかったとしています。

さらには、サクラ投稿に対し「中立なコミュニケーションの場を保つためにトークルームを立ち上げたのが社員であることをユーザーに事前に説明していなかったこと、本来の年齢・性別とは異なる人格として投稿していたことについて、ユーザー視点において明確な課題があるという認識だ」と開き直りの回答をしました。

それにしても、オープンチャットの内容が「子育て」や「不動産」などに関連する相談情報が多く、これらに関われば間違いなく、個人情報を抜き取られるシステムになっているところが気になります。

LINEをよく使っていた世代が今ちょうど、子育て中のお母さんであることを考えれば、これらに安易に関わることで個人情報を抜き取れれる可能性はあります。ご注意を!!!

以上はLINE Wikipediaを参考にさせていただきました。

まとめ

LINEが日本人の情報を中国や韓国に持ち出して悪用された事件は今のところ無いようですが、個人情報が友好国ではない両国に渡るのは、決して気持ちの良いものではありません。

いくらサーバーや管理セクションを日本に移動してきたとしても、データ管理に直接携わる人間が中国人であったり、韓国人であれば問題です。

まして日本人の資産情報でもある固定資産税や住民税の支払い方法にLINEやPayPayを使うことになんの違和感もなく薦める各市町村や国のお役人は本当に情報弱者なのだなと痛感させられました。

これからは私一人でも多くの皆様にLINEやPayPayなどの危険性を訴えていきたいと思います。

-記事

Copyright© 日本第一党応援(非公式) , 2021 All Rights Reserved Powered by STINGER.