LINE提倡端對端加密(E2EE)。 E2EE這個術語在日本並不常用。即使是熟悉這個術語的人,也很少人知道應該假設什麼樣的威脅模型(在什麼條件下可以防止攻擊)。那麼,為什麼現在有必要研究LINE的E2EE呢?
LINE 已成為日本、台灣等地的社交基礎設施等級的即時通訊平台。不僅個人之間的許多交流都默認使用 LINE(例如“要不要交換 LINE ID?”),而且許多政府和地方政府(市政)組織和公司也使用和依賴 LINE。
LINE 不僅僅是一個社群媒體平台。作為一個如此龐大的平台,如果它聲稱自己是端對端加密 (E2EE),那麼就有必要驗證 LINE 是否真的能夠抵禦 E2EE 所設想的各種威脅。
2025 年 12 月 11 日,奧胡斯大學副教授 Aranha 等人在 Black Hat Europe 2025 (BHEU2025) 上的演講對此提出了嚴重的質疑。
本文涵蓋個人帳號之間的私人聊天、通話、群組聊天和群組聊天。 LINE官方帳號(通常用於地方政府和企業向個人發布B2C公告)或50人以上的群組聊天沒有端對端加密。有關官方帳號系統過去資訊外洩事件的信息,請參閱以下文章。
LINE官方帳號資訊外洩:Akamai CDN漏洞「CVE-2025-66373」帶來的風險是什麼?
更新日期:2025 年 12 月 24 日,根據一組研究人員的回饋意見。
本文為innovaTopia獨家文章。
目錄- 【社論】
- 為時間緊迫者提供的概要
- E2EE的真正意義是什麼?
- LINE Yahoo! 的官方立場-E2EE 的設計目標是堅不可摧嗎?
- 研究人員表示:為什麼它仍然是一個真正的威脅
- 內閣秘書處國家網路安全辦公室的回應
- 闡明漏洞的本質:技術與實現
- 案例研究:Telegram 的安全性也不高。
- 問題的核心在於:端對端加密(E2EE)應該在多大程度上加以定義?
- 展望未來:保護與培育白帽駭客
- [術語]
- [參考連結]
- [編者註]
- 更新於2025年12月24日(研究者筆記)
【社論】
為時間緊迫者提供的概要
- 預設情況下,LINE 會使用貼紙推薦功能(可以高精度地猜測相關貼紙組合中包含的詞語)在發送訊息之前,將可用於猜測訊息中詞語的訊息發送到伺服器,並且僅使用傳輸加密。
→ 您可以透過在設定中關閉郵票建議功能來避免這種情況。 - URL預覽功能在傳送時會將原始URL傳送到伺服器。
→ 如果您透過 LINE 傳送機密或特權 URL,可以透過在設定中關閉 URL 預覽功能來避免洩漏。 - 目前,根據公開資訊和我們編輯團隊的調查,除了上述問題外,我們沒有發現任何其他可能損害LINE訊息保密性的問題。
- 如果您希望啟用端對端加密 (E2EE),群組聊天人數不應超過 50 人。對於超過 50 人的群聊,Letter Sealing v2 功能將會被停用。
在漏洞詳情公佈之前,innovaTopia 編輯團隊於 2025 年 12 月 5 日獨立演示了重播攻擊。消息最初報導於以下文章:
LINE的「信件密封v2」漏洞 | innovaTopia編輯團隊成功演示了該漏洞,我們該怎麼做?
E2EE的真正意義是什麼?
典型的端對端加密威脅模型假設存在以下類型的攻擊者(端對端攻擊者):
- 伺服器入侵
- 惡意內部人員
- 國家強制和乾預
在端對端加密 (E2EE) 所假設的威脅模型中,「HTTPS 安全性」和「伺服器行為誠實」並非充分的前提條件。 HTTPS(TLS)是一種防止通訊路徑上竊聽和篡改的機制,僅確保客戶端和伺服器之間的安全。而 E2EE 則更進一步,旨在即使在伺服器本身可能受到攻擊或被惡意利用的情況下,也能維護通訊內容的機密性、完整性和真實性。
這並非極端的理論假設,而是實務上普遍存在的前提。在現實世界的服務運作中,惡意內部人員、因法律或政治壓力而導致的未經授權的伺服器操控,以及國家級攻擊者的入侵,都無法完全排除。因此,端對端加密 (E2EE) 的目標是在不信任伺服器的情況下提供安全保障——換句話說,即使伺服器本身就是攻擊者,也能維持安全。這正是 E2EE 與 HTTPS 或傳統伺服器端加密的根本區別,也是 E2EE 的核心所在。諸如 Signal、Matrix 以及MLS(訊息層安全性)等協定也基於此假設。
MLS採用網路威脅模式[RFC3552],因此假定攻擊者對網路擁有完全控制權。其目的是在面對以下攻擊者時提供第8.2節所述的安全服務:
- 監控整個網路。
- 讀取未加密的訊息。
- 產生、注入和刪除未受保護傳輸層中的任何訊息。
雖然 MLS 應該運作在諸如 QUIC [RFC9000] 或 TLS [RFC8446] 等安全傳輸協定之上,但 MLS 的安全保障並不依賴傳輸協定。這與通常信任傳輸協定的設計實踐有所不同,因為 MLS 的設計目標是在網路元素(尤其是資料伺服器)遭到入侵的情況下也能提供安全保障。
RFC 9750訊息層安全性 (MLS) 架構– 第 8 節:安全性和隱私性考量
LINE Yahoo! 的官方立場-E2EE 的設計目標是堅不可摧嗎?
LINE Yahoo! 已明確表示,即使 HTTPS 伺服器遭到入侵,啟用 E2EE 的訊息內容也旨在受到保護:
編輯提問及LINE Yahoo的回覆(點擊展開)
編輯部:LINE 和雅虎在 HTTPS 連線中斷或伺服器被劫持的情況下,是否沒有考慮確保安全或隱私(至少在通常意義上)?
LINE Yahoo :簡而言之,我們並不這麼理解。
我們的端對端加密 (E2EE) 服務,即“信件密封”,旨在最大限度地保護個人用戶的隱私,確保在任何情況下,除預期的收件人之外的任何人都無法查看郵件內容。
除了使用 HTTPS (TLS) 保護通訊通道外,LINE 還對適用的訊息、媒體和通話應用了信函密封技術。信函密封技術會在客戶端對訊息內容進行加密後再發送,並確保伺服器端無法解密。
因此,即使HTTPS遭到破壞或部分伺服器被攻破,只要裝置本身和加密技術的安全性得到保障,端對端加密的訊息內容仍將以加密狀態受到保護,使用者的隱私也將得到保障。我們正努力透過在營運、基礎設施和設備層面實施多層保護,最大限度地保障用戶的安全性和隱私,即使在HTTPS遭到破壞或伺服器被劫持的情況下也能如此。
這意味著並非沒有考慮到端到端攻擊者,而是設計之初就考慮到了他們。
LINE Yahoo! 回應如下,稱他們追求的安全目標超越了“相信我們”,他們重視第三方認證、資訊揭露、審查以及與學術界和媒體的對話。
編輯提問及LINE Yahoo的回覆(點擊展開)
編輯部:我們認為LINE目前的營運模式是基於對LINE Yahoo及其伺服器、憑證授權單位等的信任。這在日本國內或許值得信賴,但對海外用戶而言,LINE畢竟是一款海外應用。 LINE似乎正在向全球擴張,您如何看待其在海外的信任風險?
LINE Yahoo! Inc .:
我們並非只依賴「請信任企業」的理念,而是重視透過以下措施以「可驗證的方式」建立信任:
- 加密技術和協議的規範必須以《加密白皮書》和《加密報告》等文件的形式公佈,以便第三方進行技術審查。
- 定期以透明度報告或類似形式發布有關如何處理使用者資訊、回應政策以及對執法機構請求的回應情況的資訊。
- 獲得 ISO/IEC 27001 等外部資訊安全認證以及持續的第三方安全評估。
- 接受來自外部安全研究人員透過漏洞報告程序等方式提供的回饋。
我們也認識到,根據學術界的評論和媒體提出的問題(例如本文)深化討論,對於降低全球信用風險至關重要。
由於實際發生了安全漏洞,漏洞報告程序已被暫停。
此外,LINE Yahoo! 公司已聲明,不會削弱加密,以免第三方或 LINE Yahoo! 公司本身隨意查看用戶通訊內容。
編輯提問及LINE Yahoo的回覆(點擊展開)
編輯:貴公司是否有任何原因故意避免實施「完美」的加密系統,例如以下系統?
- 為了改善用戶體驗和行銷目的
- 為避免干擾刑事調查並促進合作
LINE Yahoo !:首先,我們無意削弱加密,以允許第三方或我們公司隨意查看用戶通信內容,而且我們未來的政策也絕不會這樣做。
此外,所使用的加密演算法都是經過廣泛標準化和驗證的演算法,例如 AES、ECDH 和 SHA-2,並且不使用任何專有方法來「降低安全性」。
如上所述,我們會定期發布加密技術和協議的規範和透明度報告,並且正在開發一個允許第三方驗證的系統。
我們將繼續審查和改進 E2EE 協議設計,同時考慮今天提出的意見以及學術界和標準化組織的討論。
然而,LINE Yahoo! 的官方回應使用了「查看」這樣的字眼,似乎僅限於端對端加密 (E2EE) 原則中的「保密性」方面。 E2EE 不僅加密且不可讀,還必須防篡改並防止寄件者欺騙,但這些方面卻鮮有提及。
儘管如此,LINE Yahoo!表示未來將做出以下改進:
我們將繼續審查和改進 E2EE 協議設計,同時考慮今天提出的意見以及學術界和標準化組織的討論。
LINE Yahoo!(LY Corp)公共關係
研究人員表示:為什麼它仍然是一個真正的威脅
儘管奧胡斯大學的研究人員承認攻擊是基於“實驗性設定”,但他們指出,伺服器被攻擊者控制的情況是端到端加密(E2EE)面臨的現實威脅模型。他們推測,如果LINE伺服器本身遭到入侵,或受到惡意內部人員或國家行為體的脅迫,類似的攻擊也可能發生。
研究人員一再強調,這些攻擊並不需要任何中間人攻擊(資料來源:個人交流[pc])。只要LINE的伺服器被攻破或被攻擊者控制,攻擊就成功了。這顯然與LINE和雅虎日本的一些解釋以及海外媒體報道中「中間人攻擊是前提條件」的觀點截然不同。
研究人員認為,這類情況正是端對端加密(E2EE)所應應對的典型威脅,事實上,這正是E2EE存在的意義所在。鑑於近期勒索軟體和其他威脅頻繁入侵企業伺服器,基於「伺服器會保持誠實」這一假設的安全設計在實際風險評估方面是遠遠不夠的。研究人員強調,他們發現的漏洞並非加密演算法選擇的問題,而是威脅模型和協定設計假設本身的問題。
研究人員也指出,LINE在某些情況下會停用端對端加密。具體來說,對於超過50人的群組聊天或包含官方帳號(公關帳號/企業帳號)的聊天,LINE不會啟用端對端加密,儘管這些情況不在本文討論範圍內。在這些情況下,伺服器端會將通訊內容以明文形式處理。
研究人員與 LINE 進行了協調披露,並表示雖然許多問題是“已知的局限性”,但有必要更新威脅模型。
研究人員指出,這些特性使得 LINE 的伺服器基礎設施成為國家行為體(以及進階持續性威脅 (APT))極具吸引力的目標。
攻擊場景非常逼真,使得 LINE 基礎設施(伺服器)對國家行為者來說極具吸引力,他們可能會滲透和監控這些基礎設施,並可能利用這些基礎設施進行定向攻擊。
湯瑪斯·摩根森(個人電腦),2025年12月19日18:02
這不應該是端對端加密的方式。
E2EE不應該是這樣的。
轉引自 https://i.blackhat.com/BH-EU-25/BHEU25-Mogensen-LINE-Break-Cryptanalysis-And-Reverse-Engineering-Of-Letter-Sealing-Final.pdf – 第 53 頁
內閣秘書處國家網路安全辦公室的回應
我們向內閣秘書處國家網路安全管理辦公室發送了以下問題,並附上了有關 LINE 專有加密協定「Letter Sealing v2」漏洞的參考網址,並收到了回應。
查詢表於2025年12月8日提交。編輯部在撥打兩次電話後,於2025年12月19日收到以下回覆。回覆稱,電信業務法相關事宜由總務省負責。
日本內閣官房國家網路安全辦公室對編輯部提問的答覆
感謝您與我們聯繫。
我們謹就您的詢問作出以下答覆:
請注意,《電信業務法》由總務省管轄,因此有關該法律的詳細信息,請聯繫總務省。(1)作為政府,您認為LINE漏洞不是一個問題嗎?
(答)我們目前正在核實事實,暫時無法給出具體答案。(2)鑑於完美的加密會阻礙刑事調查,政府和 LINE Yahoo! 之間是否存在任何協調?
(答)請向國家警察廳諮詢刑事調查事宜。(3)高市政府曾表示將重點放在網路安全。您認為作為國民級超級應用的LINE在安全方面會有多麼強大?
(答)我們要求電信公司根據《電信業務法》採取適當行動。
國家網路安全辦公室作為連接所有政府部門和關鍵基礎設施的樞紐,是日本網路安全政策的跨政府指揮中心。作為一個處於公私合作和跨部門努力核心的機構,我原本希望得到更積極的回應。
闡明漏洞的本質:技術與實現
研究機構
- 群聊中的身份冒用
- 研究人員認為這完全是設計缺陷。
- 計數器編碼問題(導致重播攻擊)
- 研究人員認為這主要是由於實施錯誤造成的。
- 透過貼紙推薦和URL預覽洩漏明文
- 研究人員認為,這既存在設計缺陷,也存在實施錯誤。
LINE Yahoo! 也強調它使用的是“標準加密演算法”,並沒有削弱這些演算法,但問題不在於演算法本身,而是在於協議和實作方式。
| 漏洞 | 分類 | 影響屬性 |
|---|---|---|
| 重播/交換/阻止 | 實施 + 設計 | 完整性 |
| 冒充(群體/一對一) | 設計 | 完整性和認證 |
| URL/郵票洩露 | 設計與實施 | 保密性 |
| 缺乏關鍵的滾動 | 設計 | 前向保密 |
重播、重新排序和阻塞問題
這意味著無法偵測同一則訊息是否已重新發送、重新排序或丟棄,這意味著訊息狀態(即聊天記錄)的一致性無法得到保證。
原因包括計數器管理及其編碼方法(之字形編碼)、訊息時間戳依賴伺服器接收時間且未進行加密記錄,以及用戶端缺乏驗證。
我們的編輯部還發現並注意到,有一個具有特定結構的計數器沒有得到加密認證的適當保護,因此在 2025 年 12 月 5 日,也就是公告發布之前,我們獨立進行了基於逆向工程的實驗性重播攻擊測試,並將結果報告給了 LINE Yahoo!。
研究人員還表示,LINE 承認這是規範中已知的局限性,這是由於優先考慮使用者體驗的設計決策。
很高興聽到你成功重現了回放攻擊!
很高興聽到你成功復現了重播攻擊!
副教授 Aranha 就我方編輯團隊在公告發布前成功復現 LINE 上的重播攻擊發表了評論(日本時間 2025 年 12 月 19 日上午 7:00):
群聊和一對一聊天中的冒充問題
出現此問題的原因是,群組密鑰被設計為一對一密鑰交換的擴展,而群組密鑰本身並非嚴格綁定到單一帳戶。由於客戶端無法進行充分的驗證,它只能依賴伺服器的誠信,這不符合端對端威脅模型。
根據研究人員提供的信息,這種冒充問題不僅限於群聊,也適用於一對一聊天(在 E2E 攻擊者模型下)。
透過URL標記部分揭露明文
這個問題並非直接違反主加密協定的保密性,而是涉及透過URL預覽貼紙推薦功能,使用與訊息體不同的獨立通道傳輸輸入資料。另一個問題是,貼紙推薦是在使用者輸入時進行的。
貼紙推薦功能不會直接向伺服器發送明文,但研究人員表示,透過組合與某個字詞相關的多個貼紙,可以高精度地推斷出使用者正在輸入的單字。
針對研究人員的質疑,LINE Yahoo! Inc. 回應稱,這是“可擴展性和便捷性之間的權衡”,是一種允許用戶“選擇退出”的設計妥協方案。此外,發送表情和表情符號的功能並未明確包含在端對端加密 (E2EE) 中。
對此,研究人員對貼紙和 URL 預覽「不敏感」這一前提表示懷疑,並擔心這些機制即使目前沒有被用於監視、審查和間諜軟體的目的,將來也可能被用於這些目的。
缺乏前向保密性
這裡我就不贅述細節了,但要實現前向保密,需要一個不允許逆轉的機制,例如棘輪機制(例如 Signal 的雙棘輪),它可以執行往返同步通訊。
LINE 指出的一個設計特點是,關鍵材料可以長時間保持固定,而且沒有持續運作的棘輪機構。
只有密鑰洩漏時才會出現這種情況。使用 Signal 時,只有非常有限的通訊內容可以解密(影響範圍有限),但使用 LINE 時,幾乎所有通訊頻道都可能被攻破。
案例研究:Telegram 的安全性也不高。
當人們聽到LINE有安全漏洞時,很多人可能會想到Telegram作為替代品。事實上,Telegram就像LINE在日本一樣,在全球廣泛使用,以至於稱其為「LINE的海外版本」也毫不為過。
然而, Telegram 預設並非端對端加密 (E2EE)。雖然通話功能支援 E2EE,但文字聊天只有在用戶明確開啟「私密聊天」(僅限一對一對話)時才會啟用 E2EE,而許多用戶並不知道這項功能。私密聊天非常不便,因為它只能在單一裝置上使用,因此實際上很少有人使用它。
Telegram 具備自動刪除歷史記錄等功能,乍看之下似乎非常注重隱私,但其加密保障卻十分有限。 「秘密聊天」功能實際上是端對端加密 (E2EE),而實現該功能的協議是 Telegram 自家的 MTProto,密碼學家對此褒貶不一。此外,群組聊天或頻道(例如部落格)也無法使用端對端加密。
編按
我個人不信任 Telegram 處理任何與加密相關的事務。這只是我個人的看法。
鑑於以上種種,LINE「只是嘗試」預設為所有人提供端對端加密,並聲稱未來會改進協議,所以對於一個主流(流行的)商業平台來說,這還不錯。
核心問題:如何定義端對端加密應該保護什麼?
LINE 目前的「端對端加密」(E2EE)在有限的威脅模型下運作良好,遠勝於沒有加密。然而,它並未真正體現端對端加密的精神。 LINE 已聲明不會隨意削弱加密強度,以允許公司本身或第三方(很可能是政府)進行幹預。或許有必要更新威脅模型,以抵禦更多種類的攻擊。
展望未來:保護與培育白帽駭客
在日本,對於進行攻擊測試並向供應商等報告的獨立安全工程師和白帽駭客,法律保護不足。如果他們不小心,即使出於善意進行安全測試,也可能被警方逮捕(如果他們未經許可繞過訪問控制,這可能違反未經授權訪問的要素)。
編按:我當時也很緊張,不知道該如何應付這次考試。
漏洞報告和負責任的揭露制度已經存在了大約十年,但是,首先檢查漏洞的行為仍然是刑事犯罪,這取決於法律是如何實施的。
在這種情況下,對法律訴訟的恐懼可能導致無人調查安全問題,漏洞也可能無法解決。我們不應該加強對那些秉持善意的安全檢查人員的法律保護嗎?這是加強日本國家網路安全的必然途徑。
LINE 安全漏洞賞金計畫(該計畫已於 2025 年 12 月 3 日暫停。)
[術語]
端對端加密 (E2EE) 的必要特性(重複)
- 保密(內容無法被中間人(包括服務生)破解)
- 完整性(任何篡改行為均可被偵測到)
- 真實性(驗證您是否正在與正確的當事人溝通的能力)
- 前向保密(防止密鑰的後續披露洩露過去的通訊內容),有時在一些文獻中被省略。
白帽駭客: 「駭客」一詞原指的是電腦專家,不一定指從事惡意活動的人。然而,由於攻擊者的負面印像根深蒂固,現在這個詞通常用來指那些出於善意而從事安全工作的人。
威脅模型:資訊安全領域中使用的一個概念。它是一個框架,闡明了“誰,處於什麼位置,我們想要保護什麼/他們的目標是什麼”,並闡明了可能發生的攻擊和事故的範圍以及需要採取的措施。
威脅模型主要
- 需要保護的資產:個人資訊、金錢、機密文件等。
- 攻擊者(威脅行為者) :外部攻擊者、內部人員、國家機關等。
- 攻擊手段:竊聽、篡改、欺騙、內部詐欺等。
- 假設:通信安全嗎?伺服器可信嗎?設備安全嗎?
請闡明這些要點。
重要的是要假定不存在「絕對安全」的系統,並事先明確「該系統能夠抵禦哪些威脅?」以及「反過來,它無法抵禦哪些威脅?」。這將避免過高的期望和誤解,並有助於進行符合實際目標的安全設計和評估。
[參考連結]
資訊安全預警合作指南 – IPA(資訊科技促進機構)
針對 Telegram 的四種攻擊及證明-一篇描述針對 Telegram 的攻擊的論文。
Line-Break – 研究人員的官方漏洞網站:Diego F. Aranha,副教授;Adam Blatchley Hansen,博士生;Thomas Kingo T. Mogensen,理學碩士。
[編者註]
この記事を書いた私も、E2EE プロトコルを実験的に制作・運用した経験があります。標準暗号スイートを使うのはあたりまえとして、その上に独自にプロトコルを作ることの難しさは、身を以って実感しています。特に、E2EE の前方秘匿性 (forward secrecy) を提供することは、本当に大変です(私のデザインでも、epoch-based secrecy に妥協している場合がかなりあります)。前方秘匿性が LINE で現状提供されていないのも、全く理解できないものではありません。LINEは改善の姿勢を示しています。LINEは日本を代表するアプリのひとつです。LINEの改善が日本発のソフトウェア・システムへの信頼性を向上させることを願っています。編集部としても今後の LINE のアップデートを見守っていきたいと考えています。
2025/12/24更新(研究者からの注釈)
日本時間12月23日20時、編集部はこの記事に対する研究者グループからのフィードバックを受けとりました。この内容に基づき、以下の通り追記・修正いたします。
- 研究者からの指摘を受け、機密性がE2EEのもとでは、サーバからも守られなければならないことを明確にしました。
- スタンプ (stickers) の漏洩は、スタンプを送らない限り、最初にダウンロードされたときのみ起きるとのことです。結果として、すでにダウンロードされたスタンプは再ダウンロードされないので、同じ端末をずっと使用していると、最初は大量に情報が漏洩し、徐々に漏洩が減っていくことになります。
- スタンプを送ると、当然に、スタンプの内容はサーバが読める形でトランスポート暗号化のみで送られます。
- アニメーション(スタンプ)の漏洩は、プレビューしたときに起こります。
- 重要なメディアで触れられていない事実として、LINE アプリ内でのユーザの移動(どのチャットをどの順番でいつ開いたかなど)は、LINEのサーバにサーバが読める形で送られるので、マーケティング上の理由などで利用されている可能性があります。
最後に、メディアの取材に対応していただいた研究者グループおよびLINEヤフー社(LY Corp)のみなさんに感謝いたします。
