セキュリティ

SECURITY

公開：2024-10-29

LINEヤフーがビジネスIDの不正ログイン被害を発表、国内外で156件の乗っ取り被害が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• LINEビジネスIDで156件の不正ログイン被害を確認
• 第三者による公式アカウントの乗っ取りが発生
• 2段階認証機能をオフにしたアカウントで被害

LINEビジネスIDの不正ログインによる被害が深刻化

LINEヤフー株式会社は2024年10月24日、LINEビジネスIDにおいて第三者による不正ログインの被害が発生したことを発表した。外部から入手したメールアドレスとパスワードの組み合わせを用いたパスワードリスト攻撃により、国内12件を含む計156件の不正ログインが確認されている。^[1]

被害に遭ったLINEビジネスIDでは、攻撃者がLINE公式アカウントの管理画面にアクセスし、ユーザーとのチャット履歴を閲覧したり不審なメッセージを送信したりする事態が発生している。被害の全容解明を進める一方、該当アカウントに対してはログインセッションの無効化とパスワードの初期化を実施した。

調査の結果、今回の不正ログインは2段階認証機能をオフにしていたアカウントのみで確認されており、LINEアカウントでのログインのみを利用しているビジネスIDでは被害は確認されていない。LINE公式アカウントを友だち追加しているユーザーのLINEアカウントへの不正な操作は行われていないことも判明している。

LINEビジネスIDの不正ログイン被害まとめ

お問い合わせページはこちら

パスワードリスト攻撃について

パスワードリスト攻撃とは、他のサービスから流出したIDとパスワードのリストを使用して不正アクセスを試みる手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 複数サービスでの同一パスワード使用を悪用
• 自動化ツールによる大規模な試行が可能
• 2段階認証などの追加対策で防御可能

今回のLINEビジネスIDへの不正アクセスでも、メールアドレスとパスワードの組み合わせを用いたパスワードリスト攻撃が確認されている。被害を受けたアカウントは全て2段階認証機能が無効化されており、追加の認証手段の重要性が改めて浮き彫りとなった。

LINEビジネスIDの不正ログイン被害に関する考察

今回の事態で特筆すべきは、被害が2段階認証機能をオフにしていたアカウントに限定されていた点である。2段階認証の有効性が明確に示されており、LINEヤフー社が9月3日に実施した2段階認証の有効化は適切な対応策といえるだろう。

今後の課題として、パスワードリスト攻撃への更なる対策強化が挙げられる。ビジネスアカウントではメールアドレスのみでログイン可能な仕様となっているが、LINEアカウントとの連携を必須とするなど、認証方式の見直しが検討されるべきだ。

セキュリティ意識の向上も重要な課題となっている。LINE公式アカウントの運営者に対して、パスワードの使い回し防止や定期的な変更など、基本的なセキュリティ対策の徹底を促す取り組みが必要となるだろう。

参考サイト

1. ^ LINEヤフー株式会社. 「LINE公式アカウントにおけるアカウント乗っ取りに関するお知らせとお願い｜LINEヤフー株式会社」. https://www.lycorp.co.jp/ja/privacy-security/announcement/009487/, (参照 24-10-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧