CVE-2015-0897: ＜セキュリティ情報＞LINEの脆弱性と修正完了に関するお知らせ | LINE公式ブログ

セキュリティ 2015年03月16日

■報告経路・内容

【報告経路】

JPCERT/CCおよびIPAより、2015年2月3日に LINEの脆弱性について以下の報告を受け取ました。

【内容】

通常の3G/4G/LTE回線や、自宅・学校・会社などにおいて信頼できる管理者が設置した無線LAN回線（Wi-Fi）ではなく、悪意のある第三者が中間者攻撃（man-in-the-middle attack）を目的に設置した無線LAN回線（Wi-Fi）に任意で接続した場合に限り、以下のような可能性がありました。

例えば、LINEアプリ内の[その他]にあるページを開いたり、メッセージ・タイムラインに記載されたURLにアクセスしたりした場合に、LINE内のトーク内容・友だち一覧などのデータが取得・改ざんされる可能性があったという内容です。

■対応内容

2月3日に報告を受けた直後に、LINE内データが取得・改ざんされる可能性のある原因部分への修正対応が完了。3月4日にiOS版、3月10日にAndroid版の順にリリースいたしました。

なお、この脆弱性による被害は確認されておりません。

■利用者の皆様へのお願い

今回ご報告を受けた部分については既に修正が完了していますが、お客様のスマートフォンを安全な状態でご利用いただくためにも、日頃から以下のことに注意してください。

（1）アプリを最新バージョンに更新する

LINEアプリが最新バージョンではない場合は、更新をお勧めします。

特に、Androidスマートフォンをご利用の方で、Android OSが4.3以下の古いバージョンのままご利用の方は、OS側のサポートが終了しているため、LINEアプリを最新バージョンに更新することを強くお勧めします。

▼LINEアプリのアップデートはこちら

（2）知らない無線LAN（Wi-Fi）には接続しない

悪意を持って設置された無線LAN（Wi-Fi）、または適切な対策が行われていない無線LAN（Wi-Fi）を利用した場合は思わぬリスクが潜んでいる場合があります。

例えば、街中などで誰でも接続できる状態になっている無線LAN（Wi-Fi）は利用しないよう気をつけてください。

【参考】「Wi-Fi（無線LAN）の安全な利用について」総務省

JPCERT/CC様、IPA様および株式会社スプラウト様（末房建太 様、中澤上明様、塩見友規 様）にご指摘いただいたお陰で、プログラム設計上の問題を早期に修正することができました。感謝申し上げます。

LINEは、これまでもセキュリティ部分への対応については厳格に行っておりましたが、引き続き、セキュリティ強化にむけて随時アップデートを重ねてまいります。

FAQ（よくある質問）

Q. 上記以外に報告された脆弱性はありますか？

A. 上記でご報告したもの以外では、悪意のある第三者が、友だち表示名に不正なプログラムコードを埋め込んだ状態で友だち申請をし、そのコードが実行されると、LINE内の情報が閲覧・改ざんされる可能性がある、というものがありました。この脆弱性については、2月3日に報告を受けた直後に修正が完了しております。

Q. 今回報告された脆弱性に対して、何か対応する必要はありますか？

A. 今回ご報告を受けた部分については既にサーバ側で修正が完了しており、特にユーザーの皆様において特別な対応を行う必要はありません。ただし、今後も引き続きお客様のスマートフォンを安全な状態でご利用いただくためにも、常にアプリを最新バージョンに更新する、知らない無線LAN（Wi-Fi）には接続しない等、上記注意事項にご留意ください。