物理の駅 by 現役研究者

Physics Station → PhSt 質問・疑問・間違いの指摘は、コメントに書くか、直接伝えるときっと良いことがあります。主にWindows or Ubuntu用の記事です

LINEとSlackの暗号化の話 LINEは本当に危険か?

LINEは危険という話をよく聞く。本当なのか。コミュニケーションツール Slack と比べてどうか。

Slackはすべてのデータをサーバー側と経路で暗号化しているため、仮にSlackが不正侵入されたり、通信経路で盗聴されても平文(暗号化前の元の文やデータ)が漏洩することはなさそう。

データの保護Slack では、基本的なセキュリティコントロールの一環として、保存データと転送中のデータをデフォルトで暗号化しています。また、可視性とコントロールをさらに高めるツールも提供しています。

slack.com

一方、LINEは以前は平文でデータを保存していたため、サーバが不正侵入されると平文が漏洩するという極めて危険な状態だった。流石にまずいということで、Letter Sealingという機能が追加され、これがONになってるトークグループトークに限り、一部の情報は暗号化されるよう(以下、Letter Sealingで保護されていれば安全という前提に立つ)。これで本当に安全か?

設定画面に「このトークルームではLetter Sealingが適用されています」と出れば暗号化されている。逆に出ていなければ暗号化されていない。LINEに侵入した不正な犯罪者やLINE内部の不正な従業員はデータを閲覧できてしまう。普段、暗号化されているかどうかを確認することは少ないはずで、安全が"確実に"保証されているとは言い難い状況だ。

LINEは、ユーザ間のトーク内容に対して、通信経路で暗号化が施されています。

※すべての内容は通信経路で暗号化されてる=通信経路で盗聴されても平文は漏れない。

また、ユーザ間トーク内容のうち、テキストメッセージ、位置情報、1対1のVoIPのメディアストリーム(音声とビデオ)は、LINE のLetter Sealing エンドツーエンド暗号化 (end-to-end encryption, E2EE)を用いて暗号化されています。

ファイルとして送信された、動画、音声は、現時点ではLetter Sealingの対象外となります。

※つまり、画像やファイルは平文で保存されている。

f:id:onsanai:20201217093930p:plain

画像やファイルは平文で保存されているので、不正アクセスを受けると平文が漏れる。ん、やばくね?

linecorp.com

linecorp.com