LINE(ライン)は、2020年7月から9月にかけてLINEアカウントに対して複数の不正ログインが試行され、約7万4000のアカウントで有効なID・パスワードの組み合わせが検証される事象が検知されたと明らかにしました。
今回LINEが検知した事象は、何らかの方法により有効なID・パスワードを取得した攻撃者が、そのID・パスワードの有効性を確認する目的でLINEが提供する特定サービスへのログインを試したものと推定されるといいます。
不正ログイン被害を受けたユーザーの数は7万3978(日本:4万1204、台湾:2万8021、タイ:139、インドネシア:10、他の国・地域:4604)。対象のLINEアカウントを用いた具体的な悪用は、今のところ確認されていません。
ただし、攻撃者が有効なID・パスワードの組み合わせを把握していることには変わりないため、LINEでは注意喚起および対策を実施。不正ログインの試行から現在までの期間、パスワード変更が確認できていないユーザーを対象にパスワードの強制初期化をおこなっています。
14:56頃までに、対象の方のLINEアカウントに対して、LINE公式アカウントを通じてご連絡いたしました。
※緑の公式バッジが付いた「LINE」アカウントよりメッセージが届きます。
対象の皆さまにはお手数をおかけいたしますが、ご確認の上、ご対応をお願いいたします。 pic.twitter.com/STmAuyzCEA— LINE (@LINEjp_official) September 12, 2020
具体的には、2020年9月12日12時33分より順次、LINE公式アカウントを通じて緊急措置としてのパスワード強制リセットと、それに伴うパスワード再設定をお願いするメッセージを個別に送っています。
メッセージ送信については以下の通り複数段階に分けて実施しております。突然のご連絡となったことを対象者の方々にはお詫びいたします。
- LINE公式アカウントを通じ「パスワードが変更されました。」というメッセージを送信。
- LINE公式アカウントを通じ「【重要】ご利用中のLINEアカウントに不正ログインの試みが検知され、現在登録のパスワードによるリスクが残っているため、緊急措置として 9月12日12時33分頃 にパスワードの初期化を行いました。」というメッセージを送信。
また、LINEアカウントを利用してログイン可能なサービスのうち、二段階認証が適用されていないサービスを見直し。新たに「LINE Creators Market」に二段階認証が適用され、ログイン時に表示された認証コードをLINEアカウントから入力することで本人確認をおこなうようになっています。
LINEでは現在、利用中のLINEアカウントに対するログインが試みられたとき、緑のバッジのLINE公式アカウントを通じて通知メッセージが届きます(LINE関連サービスやPC版LINEなどのログイン時に届く通知もそれです)。
メッセージ内容を確認してログイン通知に身に覚えがない場合、パスワードを変更するように呼びかけています。