Line確保App安全3大戰略

全臺灣人手一支智慧型手機，但要問哪一個App是大家手機內一定要安裝的程式，十個臺灣人應該有九個人跟你說是Line。畢竟，通訊軟體的使用就是要用的人數眾多，使用者才會更活躍，當大家都使用Line作為網路即時通訊的工具時，也同樣會迫使其他人，不得不跟上使用Line做為即時通訊軟體的這股風潮。

根據Line的官方統計資訊，目前在臺灣Line使用者高達1,800萬人，而全球每個月的活躍使用者更超過2億人。

因為這是針對普羅大眾的即時通訊App，許多人也因為沒有留心正確的資安防護觀念，輕信使用者端的另外一個人，也使得Line在臺灣包括日本在內，也經常發生一些帳號遭到盜用或者是遭到有心人利用Line進行詐騙，甚至是透過點選惡意連結，以至於下載不安全的應用程式等等。

為了解決Line在資安上面臨使用者的種種挑戰，該公司也一步步從通訊管道加密做到內容加密，甚至於，Line資安長暨隱私長中山剛志表示，為了要克服Line使用者帳號的種種安全性議題，也計畫在未來採用FIDO（Fast IDentity Online）聯盟所制訂的生物驗證技術標準，他則希望，這樣的FIDO推出的生物辨識的技術標準，未來可以用於確保Line App的安全性上，甚至也可以用於其他像是Line積極耕耘的物聯網領域以及相關的行動支付，例如Line Pay等服務的安全性上。

從三面向確保Line App的安全性

Line近年來也陸續從App及服務的安全性、安全的軟體開發生命周期，以及國家及區域的安全治理等三大面向，來打造Line的安全性。

中山剛志表示，Line針對一般消費者（B2C）以及針對企業用戶及其客戶（B2B2C）都提供不同的平臺與服務，如何確保相關服務具有一定的安全性，是該公司在提供相關服務時，所具備的基本底線。

再者，為了確保Line App本身是安全的，他指出，Line很早就開始導入安全軟體開發生命周期（SSDLC）機制。

中山剛志表示，從軟體規畫、設計、導入、品質控管和修正版本釋出後，這一整個新的安全軟體開發生命周期的循環，就可以做到讓Line App本身具有一定的安全性，也可以確保Line提供服務的安全性。

最後，則是國家和區域的安全治理，中山剛志表示，目前Line在韓國、日本、臺灣和泰國等國，都有大量的Line使用者，符合當地國和日本的法規等等，並確保使用者的帳號安全，都是Line的重要任務之一。

以安全的軟體開發生命周期為例，中山剛志表示，這對於軟體和App公司而言，是落實資安的基本功夫，在軟體設計之初，就必須要做到安全的設計（Secure By Design）和隱私的設計（Privacy By Design）；而在軟體導入階段，就必須進行源碼檢測（Security Code Check）；在品質控管階段就必須進行風險評估，確保沒有重大的風險沒有看到。最後，在整個版本完成安全的軟體生命周期之後，就會釋出一個修正過的安全軟體版本。

為了讓Line App更安全，中山剛志表示，Line成為全日本第二個推出漏洞獎勵計畫（Bug Bounty Program）的公司，相較於美國，這樣的漏洞獎勵計畫在日本並不盛行，但是，「Line希望可以結合更多白帽駭客的力量，讓Line成為一個更安全的App。」他說。

個人資料與隱私的保護是Line非常重要的使命，該公司也從技術層面、法規遵循層面以及提供相關的參考指南等三方面來著手進行。（圖片來源／Line）

透過機器學習機制打造智慧平臺

許多Line使用者也會遭遇到垃圾帳號騷擾或帳號遭到濫用的情況，中山剛志指出，目前Line也採用機器學習（Machine Learning）的方式，設定垃圾訊息的過濾規則，包括設定規則或者是啟發式的規則等，藉由過濾垃圾訊息或者是遭到濫用的Line帳號，先確保Line使用者帳號安全性。

另外，Line也提供檢舉垃圾廣告或色情訊息的功能，讓這些騷擾訊息可以回傳Line公司的客服中心進行分析，確認騷擾事件屬實時，將會暫停該使用者的Line帳號。

「Line的目標是希望成為使用者心目中安全的智慧平臺（Smart Portal），」中山剛志表示，最終希望讓每個網路使用者，都可以透過這個Line平臺，隨時隨地、安全的存取到所需要的個人、公司、服務以及品牌。

針對端點及內容加密，確保Line個人通訊隱私

如何保護Line使用者的隱私與個人者資料安全，也是Line在資安上非常重要的環節之一，Line會從技術層面、法規遵循層面，以及其他的參考指南等面向來著手進行。

從技術面上來看，Line已經可以做到使用者端的訊息加密功能，不論是一對一聊天，或者是50人內的聊天群組，甚至是一對一的網路語音、視訊的端對端的通訊方式，都已經可以做到訊息加密（Letter Sealing）。

「透過端點對端點的加密功能（(End-to-End Encryption，E2EE），都可以做到對話的訊息內容不會輕易遭到外洩。」他說。

Line這種端對端的加密，就是在使用者設備上產生加密的金鑰，當雙方開啟傳遞訊息時，就會透過系統交換金鑰，並對每一個對話產生加密金鑰，確保這段對話，只有通話雙方才可以解讀。

因為是在使用者的行動裝置上產生的加密金鑰，就算聊天內容被第三方所攔截，因為沒有解密金鑰，也無從解讀這些加密內容。

當然，這樣的端點機制也可以用在Line群組中，中山剛志說：「根據Line的統計，目前有95％的群組人數都在50人以下，這也是為什麼Line在群組的端點加密機制中，設定50人的群組上限。」

除了Letter Sealing功能外，中山剛志表示，另外一個對個資和隱私保護很重要的技術就是LEGY（Line Event Delivery Gateway，Line訊息傳送閘道器）。

早期，Line的訊息仰賴HTTP進行傳送，但這種奠基在網頁瀏覽器上的HTTP通訊協定，相較於行動裝置並不友善，尤其是需要做到即時性的通訊軟體，更有牽涉到HTTP傳輸效率的問題，以及會因為同一個TCP連線無法平行傳送多個連線請求（Request）且無法依先後排序，造成傳輸效率不彰。

因此，Line改用新版SPDY通訊協定，來改善行動裝置上的傳輸速度以及安全性，並且由Line總部的研發工程師，自行開發API閘道器支援SPDY通訊協定，甚至後來用Erlang開發語言重新改寫SPDY通訊協定，打造出了Line現在使用的LEGY通訊協定。

中山剛志表示，從整個LEGY的通訊架構上來看，針對所有使用者裝置上的Line App連線到Line後端伺服器的同時，所有的資料傳輸都會先連線到LEGY閘道器。

這個時候，最重要的關鍵就是，當所有Line的連線都先連到這個閘道器後，可以降低原先使用SPDY的使用延遲外，也可以把所有的Line傳輸訊息，都先放到加密的TCP通道進行傳輸，可以確保傳輸速度以及內容加密安全性，不致於因為要內容加密導致通訊品質不良。

Line為了做到可以快速傳輸加密的內容，改寫原先正在使用的SPDY通訊協定成為LEGY通訊協定並設置LEGY閘道器，將Line傳輸訊息先放到加密的TCP通道中，確保加密訊息的傳輸速度。（圖片來源／Line）

使用者的通訊資料可以做到內容加密和傳輸加密外，中山剛志指出，因為現在各種行動裝置的資料還原技術也越來越普遍，為了確保使用者存放在手機上的資料，不會因為手機遺失或維修等情況，發生使用者因為各種資料還原軟體，導致相關個人資料外洩的情況。

所以，Line也提供「True Delete」（真實刪除）技術，在刪除資料時也用「Null」值寫入同一個儲存位置，確保資料真能完全刪除，甚至可以做到，一旦使用該技術刪除資料後，即便是Line官方技術人員。也無法使用任何方式來還原資料。

除了技術面的要求，日本也是法規遵循非常嚴格的國家。

中山剛志表示，日本除了有個人資料保護和隱私保護的法規要求外，也要符合日本落實秘密通訊的法規要求（Secrecy of Communication , in the constitution in the japan）。

但要落實保護資料者隱私的方式，Line進一步針對相關服務，提供各式各樣的技術白皮書，也包括各種的參考指南，甚至是在今年四月，更首度公布了各國政府向Line索取使用者個資的透明度報告等等。

中山剛志表示，Line的安全性除了確認身分之外，也從相關的技術演進，從實務面確認App本身的安全性以及提供服務的安全性。

當然，一個公司要能夠落地並且針對在地使用者提供所需要的服務，則是需要更多的公司治理和符合相關的法規遵循議題，才有辦法做到的。

使用者安全意識，才是確保Line帳號安全終極王道

在臺灣，經常會聽到許多人抱怨，身邊有朋友不是Line的帳號被盜用，就是有朋友相信，透過Line傳送需要借錢訊息的那一個對象，就是現實生活中原本就熟識的親友，也就不疑有他，沒有經過任何資訊的查證與確認，立馬將對方需要的金錢轉帳給對方。往往，這些使用者都是在錢已經轉帳之後，才發現自己是發生Line的詐騙事件了。

這樣的問題在臺灣經常發生，在日本其實發生的機率也不少，中山剛志認為，對於Line而言，除了要在技術層面確保相關產品和服務的安全性外，更重要的使命其實是提升使用者的資安意識，「唯有使用者具備足夠的資安意識，Line才能真正確保產品與服務是安全的。」他說。

因此，中山剛志表示，為了讓更多使用者知道如何確保Line帳戶的安全性，並且具有安全的概念，可以減少各種不必要的詐騙或風險，Line則和日本靜岡大學合作，針對全日本一千五百多所的國小、國中和高中生的學生、老師和家長，進行相關的資安教育訓練。

他表示，這個資安意識的教育訓練對象不僅是為了要提醒所有的一般使用者，應該要如何做到確保帳號的安全，也透過編纂相關的資安教材，以各種更淺顯易懂的方式，傳遞Line希望使用者可以落實的各種資安作為和正確的資安觀念。

他表示，目前這套Line編纂的資安教材只有日文版，未來不排除在其他各個有大量下載並安裝Line使用者的國家，翻譯這套資安教材並進行相關在地化的修改。

最終的目的無他，「只有當Line的使用者可以安全、安心的使用Line，該公司才能夠真正確保相關的產品和服務是安全的。」他說。

Line目前推出的種種安全機制，最主要的目的就是希望可以確保使用者的帳號安全性。

因此，中山剛志指出，不管Line如何持續強化所有保護帳號安全措施，以及確保內容通訊安全的機制，但最終的關鍵仍然是，使用者必須對自己所擁有的Line帳號，具有足夠的安全意識。

否則，中山剛志認為，「不安全的資安意識，就像是使用者把自己的ATM提款卡密碼交給其他人一樣，根本就沒有任何安全性可言。」。

 Line下一步：AI、機器人和物聯網 

Line資安長兼隱私長中山剛志表示，AI、聊天機器人（Chatbot）以及物聯網應用將是Line資安發展的下一步。

對於Line而言，現在的技術都是為了讓現在的產品和服務更安全，中山剛志認為，隨著網路和各種資安情勢變化多端，Line的下一步絕對和AI（人工智慧）、機器人（Chatbot）和物聯網的發展息息相關，而Line透過這些技術的研發，目的是確保使用者端對端之間的訊息傳輸內容的安全性，以及使用者對Line服務的信任。

他以Line推出的虛擬雲端AI語音助理Clova（Cloud Virtual Assistant）為例，透過分析Line本身各種服務所累積豐富的內容，可以進一步了解使用者的需求，再加上針對日本、韓國、印尼、泰國和臺灣等市場所累積的經驗，包括Line的語音聊天內容、Naver的搜尋技術、Line與Naver的各種服務與所累積的各種使用者行為資料等。

中山剛志表示，當這些資料和這個雲端AI平臺結合後，使用者就可以透過語音方式跟Clova提出各種需求，真正讓Line使用者進入後觸控、後顯示的時代。

「另外，聊天機器人的發展，也是Line未來關注的重點之一。」中山剛志指出，目前Line正在開發客服機器人，希望可以回答70％以上使用者的問題，剩下30％的問題在轉交人工客服處理；而語音助理Clova不僅是AI人工智慧的成果，預計今年夏天將在日本與韓國率先推出外，也是Line在推動聊天機器人的綜合成果之一。

Line資安長兼隱私長中山剛志表示，物聯網的應用是Line未來發展的重點之一，在日本東京總部辦公室中，只要啟動Line的Beacon功能，就可以到自動販賣機連線，透過Line Pay付款購買自動販賣機的飲料。