Android版LINEはバージョン6.9.0において、アカウントに登録してあるパスワードとメールアドレスを変更する際に必要となる本人確認の仕組みを変更しました。一部のユーザーにとっては不意打ちになる恐れがあります。
従来は現パスワードの入力のみを要求することで本人確認を実施していましたが、バージョン6.9.0以降ではパスワード変更にはパスワード入力に代わって「端末ロック解除」を、メールアドレス変更には「端末ロック解除+パスワード入力」を要求する本人確認方法に切り替えられています。本人確認を従前の方法によっておこなう仕組みに戻す設定は見当たりません。
Google Playストア上で新機能として説明されていた(2016年12月1日)
iOS版LINEでも同様の仕様変更が加えられています。パスワードを変更する場合、従来のパスワード入力に代わり、Touch IDによる認証が要求されるようになっています。Touch ID機能で指紋を登録していなければ、特に何も要求されません。
新仕様では、パスワードを変更しようとすると端末ロック解除の手続きを求められ、それを済ませるとパスワードを変更できる画面が表示されます。新パスワードを2度入力して[確認]をタップすれば、パスワード変更が完了します。
[パスワードの変更]→端末ロック解除(ここではPINコード入力)→パスワード変更画面
新仕様におけるメールアドレス変更時のパスワード入力要求は、実質的にはセキュリティ上の防波堤にはなりません。なぜなら、既に端末ロック解除を突破できるユーザーであれば、事前にパスワードを変更できるからです。
となると気になるのは、端末ロックを設定していないデバイスでLINEアカウントのパスワードを変更する場合の本人確認方法です。この点をアプリオ編集部で検証したところ、LINEアプリを開くことができれば、端末ロック解除とパスワード入力のいずれも要求されることなく、パスワード変更が可能となっていました。
新仕様を検証したNexus 5(Android 6.0.1)とNexus 5X(Android 7.1.1 beta)、Xperia Z5 Compact(Android 6.0.1)。端末やOSバージョンによっては結果が異なる可能性あり。
パスワード変更にパスワード入力が不要。端末ロックが未設定であるため、端末ロック解除も要求されない
また、パスワード自体を自由に実行できてしまうため、メールアドレス変更に要求されるパスワード入力は無意味です。
つまり端末ロックが未設定であれば、(A)端末への物理的なアクセスを第三者に許してしまい、かつ、(B)LINEアプリのパスコードが未設定という条件付きで、登録してあるパスワードとメールアドレスを第三者が確実に変更することが可能となるわけです。
もっとも、これまでのセキュリティレベルが必ずしも大きく低下したわけではありません。というのも、バージョン6.9.0以前の仕様でも(A)と(B)の条件に加え、(C)登録済みメールアドレスを当該端末で受信できる状況にあるという条件を満たすなら、パスワードを忘れたユーザー向けのパスワード再設定手続きによって第三者がパスワードを変更できたからです(パスワード再設定用のメールからパスワード変更画面に移動可能だった)。
したがって今回の仕様変更により影響を受けるのは、(A)と(B)の条件を満たし、かつ、(C)の条件を満たさないユーザーに限定されます。
端末ロック未設定の場合であってもパスワード変更時にパスワード入力を要求しないのはLINE側の想定している正常な動作であるのか否かについて、現在LINEに問い合わせています。返答があり次第、追記する予定です。
(12/7 追記)
LINE広報より回答がありました。
メールアドレスとパスワードの変更フローの改善は、正常な仕様です。今回の仕様変更は、LINEに登録したパスワードを忘れてしまうと、パスワード・メールアドレスの変更ができず、アカウントの引き継ぎもできないという声を、多くのお客様から継続的にいただいていたことをうけて行ったものです。なお、スマートフォンには、LINEに限らずお客様の重要な情報が入っていますので、端末ロックやLINEのパスコードロックを設定するなどの対策を推奨いたします。
もしもスマホの端末ロックを設定していないのであれば、この機会に設定しておくとよいでしょう。
