格安な料金をうたったIP電話として話題を集めたLINE電話。普段利用するスマホと同じ電話番号で発信できるのも、ほかのサービスにはない特徴のひとつだ。ところが、Android版を開始した直後は、この番号が偽装できてしまう仕様だった(関連記事)。
不安視する声も聞かれる中、LINEは4月5日にセキュリティーを強化すると発表。4月28日には、Android版がバージョン4.3.0にアップデートされ認証が強化された。これに続き、iOS版のLINE電話も5月2日に開始された。本人認証については、Android版と同様に行なわれているという。
では、このバージョン4.3.0でどのような対策が施されたのか。LINEの公式ブログによると以下の3つを確認しているという。
・端末のSIM情報の確認
・ネットワーク接続状況の確認
・不正検知アルゴリズムによる確認
端末にSIMカードが入っているかどうかや、最初に認証したSIMカードと同じものかをチェックするしくみが入ったのだろう。セルラー経由でネットワークにつながっていることを認識すれば、そのSIMカードが解約されていないかどうかまである程度判定できそうだ。ここまでは、筆者が前回の記事の結論で指摘したこととほぼ同じ。ここに不正検知アルゴリズムを入れ、セキュリティーを強化するという3段構えの対策になっている。
ただし、確認方法や基準の詳細については、セキュリティーの観点から開示がされていない。そこで実際に、どのようなアクションをしたら再認証が求められるのかを試してみた。
SIMカードを抜いて発信すると非通知に
メインの回線で使っているXperia Z1(ドコモ版)で、SIMカードを抜き、LINE電話を立ち上げ発信を行なったところ、「ご利用端末では番号通知に対応しておりません。非通知発信となります」というアラートが表示された。SIMカードなしだと一発で番号通知ありの発信ができなくなってしまった。これなら、電話番号だけをLINEに登録してLINE電話に残しておき、そのSIMカードを別の端末で使うといったことはできない。
紐づけてある電話番号でないと再認証不可
非通知の状態を解除するにはSMSによる再認証が必要であるが、元々LINEと紐づけてあった電話番号でないと解除されない。別のSIMカードを挿した状態だとその端末にSMSが届かず、認証はできないという仕組みだ。ただし、別の端末に元々のSIMカードを挿して認証だけをすることは可能。
解約済みのSIMを挿すと電話番号が通知され発信できた
一方で、SIMカードを抜き、解約済みのSIMカードを挿してみたところ、はじめに挿していたSIMカードの電話番号はそのままで発信ができた。試しに何回かかけてみたが、電話番号の再認証が求められることはなかった。ただし、この状態がいつまで続くかは不明。
Android版に続いて、iPhone版のLINEで同様のことを試してみた。
iPhoneではSIMと異なる番号が通知された
筆者のiPhone 5sはSIMフリー版で、テストを行なう直前まで、米国T-MobileのSIMカードを刺さったままになっていた。この状態でLINE電話の発信を行なったところ、LINEの認証に使った日本の電話番号が相手に通知された。再認証は特に求められず、そのとき刺しているSIMとは異なる元々のSIMの電話番号で発信できてしまった。
SIMカードを抜いた“SIMなし”状態でも番号を通知できた
そのままSIMカードを抜いて発信してみたがやはり非通知にはならなかった。そもそも、このiPhoneに入れたLINEの認証はすでに解約したauの電話番号で行なっていたのだが……。
Xperia Z1(やほかの多くのAndroid端末)とは異なり、iPhoneはSIMカードを抜いても再起動がかからない。端末の電源を切る必要なく、新たに挿したSIMカードを認識する。この仕様がいけないのかと考えた。
SIMなしのiPhoneを再起動すると非通知状態に
そこでSIMなしのiPhoneを再起動してもう一度LINE電話を立ち上げたところ、電話番号の通知ができなくなった。
再認証が2度とできない事態にも
このiPhoneのLINEはauの回線で認証が必要だが、そのSIMカードは既に解約済み。よって、再認証は2度とできなくなってしまった。新しいSIMカードで認証できればいいのだが、こうなるとアプリをいったん削除するしか手はなく、かなり不便だ。
以下はあくまで推測だが、LINE電話は再起動がトリガーとなり、アプリ側がSIMカードの有無を確認をしているようだ。再起動しなかったり、別のSIMカードを挿していたりすれば、以前と同じように電話番号の偽装ができてしまうおそれはあるが、ネットワークにつながるかどうかなど、ほかの条件でチェックが入る可能性は十分ある。今回は試せていないが、一定時間経過後に認証のプロセスが発生する仕組みが入っているのかもしれない。
ただし、電話番号の偽装は技術的にふせぐことができること。あえて再認証が必要となる条件を伏せる必要性はあまりない。むしろ、基準を公表しても悪用されない方が大切ではないだろうか。また、一時的かもしれないが、解約済みの電話番号で発信できてしまったように、まだ穴が完全にふさがったわけではない点には注意したい。
一方で、新バージョンのリリースで、当初よりも電話番号の偽装はしづらくなった。少なくとも抜け道を探すのにかなり手がかかり、悪用の抑止力にはなりそうだ。1カ月も経たずに素早くユーザーの声に応えたLINEの姿勢も、評価できるポイントと言えるだろう。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります