ringoさん
VIEW
LINEの中国への個人情報流出 暗号化してる部分としてない部分が判明「画像・動画は暗号化されず韓国のサーバに保存されてます」「Keepの内容も韓国です」アカン
【NHK】通信アプリ大手、LINEの日本の利用者の個人情報などがシステムの管理を委託されていた中国の会社の技術者からアクセスできる…
LINEの件、法的なあれこれはともかく、「Letter Sealingはちゃんと守られてました」という話っぽいので一ユーザーとしてはとりあえず満足しました。後は各方面の方々が頑張ってくださいという感想です。
t.co/1wYfyRxNmC
Letter Sealingはトーク内容がスマホの中で暗号化されてトーク相手のスマホの中で元に戻る、つまりLINE社は通信を覗き見できないという仕組み(もしくは約束)のことです。警察や政府も覗き見できなくて不都合なため、米国やEUではこの類の仕組みを違法化するように圧力がかけられているところです。
ユーザーの個人情報に関する一部報道について
■コミュニケーションアプリ「LINE」の国内ユーザーの個人情報の取り扱い
1. 国内ユーザーのデータ管理について
LINEのデータセンターは世界複数箇所にございます。「LINE」上のやりとりに関するデータは、大きくトークテキストと画像・動画等に分類されますが、ユーザーの皆さまのトークテキストおよび会員登録情報などのプライバシー性の高い個人情報は日本国内のサーバーで管理されており、日本の法規法令に基づく当社のデータガバナンス基準に準拠して適切に取り扱っています。加えて、画像や動画などのデータは、韓国のデータセンターにて適切なセキュリティ体制のもとで管理が行われています。
【日本のデータセンターで保管されているデータ】
トークテキスト・LINE ID・電話番号・メールアドレス・友だち関係・友だちリスト・位置情報・アドレス帳・LINE Profile+(氏名、住所等)、音声通話履歴(通話内容は保存されません)、LINE内サービスの決済履歴 等
画像と動画は暗号化されておらず韓国サーバに保存
暗号化されてるのはトーク部分のみで、画像や動画、Keep部分は韓国のデータセンターに保管されているようです。
画像や動画でパスワード送っていた人や、Keepにパスワード保存していた人はやばそうです。
【韓国のデータセンターで保管されているデータ】
画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報*1
*1 氏名住所など本人確認に必要な情報は国内で保管されています
なお、画像・動画を保管するサーバーに関しては、今後の各国の法制度等の環境変化に合わせて、2021年半ば以降、段階的に国内への移転を行う計画を進めております。
httpsで送受信されているので、通信経路上での覗き見はできないが、サーバには暗号化されずに保存されていると思われる。
また、トークテキスト・画像・動画データ等に関しては、前述の「Letter Sealing」の設定状況に関わらず、通信経路上で暗号化してサーバーに送信されます。また、画像・動画データについては複数のサーバーにファイルを分散化して保管を行っております。
トーク内容は暗号化されている
ユーザー間のトークテキストや通話の内容については暗号化を行っており、データベースへアクセスするだけではデータの中身を確認することはできません。これらについては、LINEが開発した「Letter Sealing」というエンドツーエンド暗号化プロトコルを用いて暗号化されています。「Letter Sealing」によって暗号化されたテキストは、当社のサーバー管理者であっても閲覧することはできません。「Letter Sealing」はデフォルトの設定でオンとなっており、ユーザーが明示的にオフにしない限り有効です。
・Letter Sealingの適用条件や暗号化の詳細に関してはこちらをご覧ください:https://linecorp.com/ja/security/encryption/2020h1
みんなの声
下記のリンクによって、P2P暗号化プロトコルを使ってなかったよう。僕の勘違い。
それってかなりダメだね。「◯ 通信経路上での暗号化あり」はただの HTTPS のような仕組みで、暗号化キーを持つもの (LINE 本社とか) は見放題やん。
t.co/Ow1FtSueio
> なお、画像・動画を保管するサーバーに関しては、今後の各国の法制度等の環境変化に合わせて、2021年半ば以降、段階的に国内への移転を行う計画を進めております。
「ばれちまったんで日本に移行しとこう」としか読めません。
> *2 トークの「通報」機能について:
複合化できる暗号化された会話内容ってどんなピアツーピア暗号化やねん?
ピアツーピア暗号化プロトコルと呼ぶ物は複合化ができないのが基本で、この Letter Sealing」を「P2P 暗号化」と呼べるのか?
めっちゃ丁寧に説明されてる。ざっと読んだ範囲だと、E2E暗号化されたテキストは国内管理かつ社内でもアクセス不可、中国ではモニタリング用に通報されたテキストが見えるって感じ?LINEの規模だとこの辺の管理はマジで大変そう - ユーザーの個人情報に関する一部報道について t.co/IngwJEtjnx
LINEのトークってEnd-to-end暗号化されているんじゃなかったかしら?トークにアクセスできるってなんだろう? / t.co/MTRiVQtLIf #LINE #中国 #セキュリティ
各データの暗号化情報は公開されている模様
端末間で暗号化されるのはテキストメッセージと位置情報のみであり、画像やスタンプなどはHTTPSなどの通信レイヤーでの暗号化のみの模様
t.co/19vSCWbxVW
いずれにしても、この設計通りなら少なくともテキストメッセージと位置情報はデータサーバにアクセスしても暗号化(設定いじってなければ暗号化がデフォ)してある限り中身は見れないはずである。
詳細を #LINE に問い合わせたいw