皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては個人に限らず、仕事仲間や業務連絡などにおいても『LINE』を活用している人は多いでしょう。

そのコミュニケーションアプリ『LINE』において脆弱性が発覚しましたので、今日はそれをお伝えします。

iOS版LINEにおける脆弱性とは

まず、LINE株式会社の公式ホームページには以下のように掲載されています。

【概要】

コミュニケーションアプリ「LINE」 iOS版（ver7.1.3～7.15）において、アプリに組み込まれたサードパーティ製SDK の脆弱性に起因した SSL サーバ証明書の検証不備の脆弱性があり、信用出来ないネットワーク(※1)を使って「LINE」 iOS版 を利用し特定の暗号通信を行った場合、その内容の盗聴や改竄が行われる恐れがありました。この問題は、2017年11月24日にリリースしたバージョン 7.16で修正されました。

本件脆弱性の影響は、LINE内で表示される各サービスや、外部サービスを利用する際の通信(外部サービスのID・パスワード等を含む)が対象となります。LINEのテキストによるトークの内容(※2)や、LINEのログイン情報（パスワード）、無料通話、ビデオ通話は影響を受けません。

※1 悪意を持って設置されたWiFiアクセスポイントなど
※2 一部の画像や動画などをダウンロードする際の通信は影響を受ける可能性があります

このような内容です。

この問題で影響があるのはiOS版のLINEのみで、Android、Mac OS、Windows版のLINEは影響を受けません。

また、iOS版LINEにおいても影響があるのはバージョン7.1.3～7.15で、7.1.3未満のバージョン、7.16以降のバージョンでは影響を受けません。

ただし、よくあるケースとしてはアプリケーションのアップデートを放置しているなどの場合、運悪く影響があるバージョンで止まったままになっている可能性が考えられるため、直ぐに最新バージョンにアップデートしておくことをお勧めします。

もしバージョン確認をしてから対応を考えるという方は、『設定』⇒『LINEについて』からバージョンが確認できますが、基本的にはアップデート版がリリースされる都度、最新のものにアップデートしておくべきでしょう。

＜参考記事＞

JVN#75453852　iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性

【脆弱性情報】「LINE」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ