LINEにて、「line://msg/text/」で始まるURLが拡散されています。このURLは、「指定された文章を送信するためのURL」で、「LINEで送る」ボタンの中身として利用されているURLなのですが、このURLから送信に至るまでの画面遷移で、送信内容の確認画面が無い仕様のため、自分が何を送信するのかを確認できないまま送信してしまい、意図と反した投稿を行ってしまう危険性があります。 何を送信するのかが表示されないまま先に進む画面の途中で止める判断ができれば問題にはならないのですが、LINEのユーザー層と、実際送信してしまった人が多数見つかること、そして、「次こそ送信内容の確認画面が出るだろう」と考えて先に進む人（←以前の仕様では表示された）、などなどを考慮すると、今後悪用された場合に大きな危険を招きそうな仕様であると感じました。 今回ユーザーが意図せず送信してしまうのは「ずっと前からあなたのことが好きでした」という「いたずら」的なものですが、もっと怖い目的に悪用される気がする投稿プロセスに思えるので、ここで紹介しておきたいと思います。

現在拡散されている文章

現在、LINEアプリ内で、次の文章が広まっています。 どうやって作ったんだよこれｗｗ

花火スゲェーｗ







便乗

『男子は女子』に

『女子は男子』にこれタッチして送信して！

トーク画面に花火でてくるよーーー！

line://msg/text/%E3%81%9A%E3%81%A3%E3%81%A8%E5%89%8D%E3%81%8B%E3%82%89%E3%81%82%E3%81%AA%E3%81%9F%E3%81%AE%E3%81%93%E3%81%A8%E3%81%8C%E5%A5%BD%E3%81%8D%E3%81%A7%E3%81%97%E3%81%9F%E3%80%82%0D%0A%E4%BB%98%E3%81%8D%E5%90%88%E3%81%A3%E3%81%A6%E3%81%8F%E3%82%8C%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B%E3%80%82 例えば、こんな感じで個人トークで送られてくる場合もあります。 「これをクリックした後、何が起こるのか」を紹介します。 別のパターン こんなのもあります。 すげーーーーみんなやってみ

↓をタッチして5にんのトークに送ればトーク画面がクリスマスになるよ！



line://msg/text/%E3%81%9A%E3%81%A3%E3%81%A8%E5%89%8D%E3%81%8B%E3%82%89%E3%81%82%E3%81%AA%E3%81%9F%E3%81%AE%E3%81%93%E3%81%A8%E3%81%8C%E5%A5%BD%E3%81%8D%E3%81%A7%E3%81%97%E3%81%9F%E3%80%82%0D%0A%E4%BB%98%E3%81%8D%E5%90%88%E3%81%A3%E3%81%A6%E3%81%8F%E3%82%8C%E3%81%BE%E3%81%9B%E3%82%93%E3%81%8B%E3%80%82

クリックすると起こること

LINE 5.3.1（最新版） + iPhone 6 Plus + iOS 8.4.0 にて検証しています。 LINE内で回ってきたり、LINEではない外部サイトに設置されていたリンク（これも可能）（line://msg/text/～）をクリックしたとします。 送信先ユーザー選択画面 すると、LINEアプリが起動し、次の「送信先を選択」画面が表示されます。

ここで、ユーザーを一人選択すると「送信」ボタンが表示されるので、タップします。

送信先機能選択画面 LINEは「個人に送信」となると、「メッセージとして送信」と「ノートに投稿」の選択肢があるので、それらが表示されます。通常のトークへの送信は前者なので、「メッセージとして送信」をクリックします。

送信済み画面へ ついに確認画面かな、編集画面かな、と思っていたとしても、次に表示されるのは、すでに送信済みのトーク画面です。

ずっと前からあなたのことが好きでした。 付き合ってくれませんか。 という、思いもよらぬメッセージが、異性に送信されてしまいます。 可愛いといえば可愛い、トラップですが、「意図しない内容を送信してしまった」と少し広く捉えると、「悪用されそう」と感じる人は多いのではないかと思います。 今回の場合は「花火って書いてあったのに！」ですが、Webサイトの送るボタンの場合は、「全然違う"やばい"サイトの紹介が送られちゃった！」という場合もあることでしょう。

「どうして[送信]をタップしちゃうのさ？？」

悪用の危険性

Twitterアプリの場合

今できる対処法

確認画面があったほうがよいのでは？

現状がどれだけ悪い状況なのか、という程度を考えるのは難しいのですが、とりあえず何らかの「送信文の確認画面」があったほうが、セキュリティは向上し、LINE界隈が平和側に多少は動くと思います。

ひとこと

LINEは、一度書いたトークを消すことができないので、変な投稿をしてしまうと、「読まれる前に消してしまおう！」という事もできません。 送信内容によっては危険です。 今後「いたずら」や「個人攻撃」としての悪用と、「金儲け」としての悪用が出てきそうです。 そうなる前に、仕様が変更されるとよいのですが。

おまけ：CSRFに似ている

追加：蚊＠公式垢による拡散

好きな人を選択してみて！



選んだ人に告白メッセージ送るヤツじゃないから安心して！



http://is.gd/ZRCtY0 これをやって、「どんなパンツ履いてるの？教えて欲しいな」と送信させられてしまう人が増えています（2016/01/18）。