TOPページ > ブログ (Blog) > 【LINE脆弱性】LINE公式からの回答と不明点について。
  • しりちゃんについて -About-
  • ボットの種類 -Kind of Siri-chan-
  • ブログ -Blog-
  • サポート掲示板 -BBS for user's support-
  • 使用登録 -Register-

【LINE脆弱性】LINE公式からの回答と不明点について。

コメント(49) - 2016/02/25 22:59

こんばんは(`・ω・´)

本日18時ごろLINE公式から返答がありましたので、ご連絡させていただきます。

今回、返答の結果を交え、皆様が疑問に思われている点等を含めまして書かせていただこうと思います。

■脆弱性対応状況について
ご報告いただいた4つの脆弱性についての対応状況は以下のとおりです。

1.タイムラインの認証キーについて
2.非公開設定の人のタイムラインが閲覧できることについて
3.他人になりすましてタイムラインにコメントできることについて
4.グループノートが自由に閲覧できることについて

2〜4については、2016/02/25 深夜1時頃に対応を完了いたしました。
1については、仕様の悪用に起因する問題でもあることから、ユーザーの利便性を考慮しつつ、より安全にLINEをご利用いただける方法を検討中です。

(つづきへ・・・)

脆弱性につきましては以上の返答がまいりました。2.〜4.に関しましては、こちらで確認を行い、すでに修正されているのを確認いたしました。

「1.タイムラインの認証キーについて」に関しまして、検討されるということですが、検討の結果、場合によってはこのままログアウト後も認証キーが失効しないような仕組みを採用し続けるというようにも捉えられるのですが、どうなのでしょうか。

「2.〜4.」に関してまして、いつ頃からこの脆弱性が発生していたのでしょうか。

最後に、「4. グループノートが自由に閲覧、なりすまし、削除が可能な件」に関しまして、認証キーなしでアクセスが可能な状況というのは、明らかにLINE側のセキュリティチェック対策に不備があったのか、そもそも書いたコードに対して一切確認行っていないものなのか、そもそもの仕様だったのか、また、脆弱性といえるのかも謎です。

どういう理由であれ、「4.」に関しましてはどんなプログラマであれ、認証キーの存在すらチェックしていないプログラムなど、よっぽどのことがない限り不備になることはありません。どのようなチェック体制をしているのか不思議でたまりません。

「4.」に関しましては、同じプログラムを書いているものとして、かなりの恥じるべきものだと思われます。

現在、今回の脆弱性に関する告知ページを用意していただいているとのことで、これらの期待できる返答があればと思います。

また、現在LINEをお使いの皆様には、「1.タイムラインの認証キーについて」はまだ修正されていないものですので、もしログイン用のURLを踏まれた方や、公式LINEから意図せずログインするようなメッセージが表示された場合は、至急、認証キーを失効してもらわなければなりませんので、今後ともお気をつけください。

ご存知のことかと思われますが、修正完了前に脆弱性情報を公表された場合、心無い第3者の悪用により他ユーザー様への思わぬ被害が発生する可能性がございます。
そのため、一般的に発見された脆弱性についての修正完了が確認されるまで、該当の脆弱性についてWeb・SNSなど第三者が閲覧できる場所への公開は禁止されております。
(参考:IPAガイドライン http://www.ipa.go.jp/security/vuln/faq.html#Q1-10 )

こちらの件に関しましては、対策法がある脆弱性に関しまして皆様に早急に対応していただくべきだと判断したため、簡単には悪用できない(リクエストが見えない)形で公開させていただきました。

また、なぜ今回このように公開させていただいたのかと言いますと、過去に脆弱性に関しまして指摘を無視したという事例や、以前LINEに脆弱性を報告いただいたユーザの方のお話から「もみ消されそうになりかけた」との声もあったためこのような方法をとらせていただきました。

Wikipedia - LINE (アプリケーション) #LINE脆弱性の指摘を無視

またIPAガイドラインにつきましては、あくまで依頼というものであり、禁止と断定するのはいかがなものでしょうか。(また今回はIPAの報告については検討しておりませんでしたが、公開後に念のため報告させていただいという手順になります。)

このような脆弱性報告につきましてLINE側がどのような基準を設けているのかをお聞きしたいところでもあります。

大多数の使われている代表的なアプリの一つとして、今後とも安全なアプリとして提供いただければ幸いです。

---

最後に、LINEからの公式回答を見たいという方が多くいらっしゃいましたので、こちらに全文を載せさせていただきます。

LINEおよび関連サービスをご利用いただきありがとうございます。
LINEカスタマーサポートです。

このたびは、LINEの脆弱性に関するご報告をいただき、誠にありがとうございました。

■脆弱性対応状況について
ご報告いただいた4つの脆弱性についての対応状況は以下のとおりです。

1.タイムラインの認証キーについて
2.非公開設定の人のタイムラインが閲覧できることについて
3.他人になりすましてタイムラインにコメントできることについて
4.グループノートが自由に閲覧できることについて

2〜4については、2016/02/25 深夜1時頃に対応を完了いたしました。
1については、仕様の悪用に起因する問題でもあることから、ユーザーの利便性を考慮しつつ、より安全にLINEをご利用いただける方法を検討中です。

今回の脆弱性に関する弊社からの告知につきましては、現在準備を行っております。
準備が整い次第、以下ページにて告知致します。

▼セキュリティ&プライバシー
http://linecorp.com/ja/security/


■今後の脆弱性発見時のご対応について
弊社は昨年Bug Bounty Programを運営する等、脆弱性のご報告を広く受け付けております。
https://linecorp.com/en/security/bugbounty/

ご存知のことかと思われますが、修正完了前に脆弱性情報を公表された場合、心無い第3者の悪用により他ユーザー様への思わぬ被害が発生する可能性がございます。
そのため、一般的に発見された脆弱性についての修正完了が確認されるまで、該当の脆弱性についてWeb・SNSなど第三者が閲覧できる場所への公開は禁止されております。
(参考:IPAガイドライン http://www.ipa.go.jp/security/vuln/faq.html#Q1-10 )

今後、脆弱性を発見された場合は、まず問題報告フォームよりご連絡いただくか、以下の脆弱性報告用メールアドレス宛にご連絡いただきますようお願いいたします。
dl_bugreport@linecorp.com
※IPA様経由でのご報告でも問題ございません。

Web・SNSへの公開は、脆弱性の修正完了後であれば全く問題ございません。

参照記事:LINE Bug Bounty Programの結果と、今後のLINEに関する脆弱性報告の窓口について 
http://linecorp.com/ja/security/article/51

このたびはLINEの脆弱性に関するご報告をいただきましたこと、お礼申し上げます。
今後ともLINEをよろしくお願いいたします。 

ご案内は以上となります。
今後とも、弊社サービスをよろしくお願いいたします。


《返信用URL》
https://contact.line.me/ja/?ticketNo=********&authID=*********&functionType=Re-Question

お問い合わせ情報は、プライバシーポリシーに従って取り扱います。
また、お問い合わせ情報は、適切なお問い合わせ対応のために必要に応じてLINEグループ各社に共有いたします。
ご同意のうえ、ご送信ください。

▼プライバシーポリシー
http://terms.line.me/line_rules/

---------------------------------------
お問い合わせ内容:
1)イベント・キャンペーン名
なし

2)イベント・キャンペーンが開催されている国
なし

3)イベント・キャンペーンを知ったきっかけ
なし

4)イベント・キャンペーンが開催された期間
なし

5)お困りの状況を詳しくお聞かせください
脆弱性の報告です。
その他一覧に報告できるフォームがないためこちらから報告させていただきます。
かなり問題のある脆弱性です。IPAにはすでに報告済みです。

こちらにまとめていますのでご覧ください。
http://sirichan.xyz/blog/71.html 
--------------------------------------- 


────────────────────────
LINE
http://line.me/
────────────────────────

(※この記事に関しまして、出典が分かる方法で引用していただいて構いません。)

コメント(49)
20. どんきち (2016/03/21 (Mon) 21:46:31)
  • もみ消されそうになった←イラッとした
21. nang (2016/03/26 (Sat) 11:04:01)
  • Nang
22. am (2016/03/26 (Sat) 16:28:53)
  • yps.me (2016/02/28 (Sun) 02:32:41)
    Ployskoultape@gmail.com
23. http://sirichan.xyz/blog/72.htmlั (2016/03/28 (Mon) 17:10:59)
  • นั่นสิ
24. flookflook2012@gmail.com (2016/03/30 (Wed) 03:33:56)
  • あなたはすでに登録されています(`・ω・´)
    購入方法は、「siril19:購入方法」で確認してください。
25. siriv6:on (2016/03/31 (Thu) 21:08:36)
26. siriluk (2016/04/25 (Mon) 00:26:28)
  • Ralu:regi:7bsSB-InjkF-SmiGk-HDYMf-vR2fc
27. siriluk (2016/04/25 (Mon) 01:15:32)
  • Pen:regi:Z1ukL-KeaKI-P6X93-5u6iG-Otmua
28. มงคล พิเชฐวีรชัย (2016/04/25 (Mon) 01:56:15)
  • Ralu:regi:yK4Eo-Mxztk-jqmEj-lDFfY-Cxz5t
29. อิคึ (2016/04/25 (Mon) 02:05:33)
  • Ralu:regi:U5zyp-rNJER-NTkET-YjXcb-qLSey
30. มงคล พิเชฐวีรชัย (2016/04/25 (Mon) 02:06:53)
  • PChawnamai @sirichan_line
31. dd (2016/04/25 (Mon) 02:20:27)
  • Pen:regi:Of5H7-MU2Gp-DfUj3-1aTVC-604Cv
32. Fff (2016/04/26 (Tue) 03:54:44)
  • LastSeen: regi: TiSFH-XO7I4-FfmCY-iUkWz-NsvHk
33. Bbbb (2016/04/26 (Tue) 03:58:57)
  • LastSeen:regi:4saxf-poLec-PG6m5-A5eLn-RmedP
34. Aviana32 (2016/04/29 (Fri) 01:07:26)
  • Siriv6:regi:YmogE-YcSrI-9U6P8-Qkv0X-ZZ4tw
35. Krit (2016/04/29 (Fri) 18:14:16)
  • Ok
36. Siriv6:regi:swY3V-IKLBY-MaSwG-1AWut-xKsYQ (2016/05/04 (Wed) 17:22:49)
  • 我可以,懇請作者給予ID:0962089862禮券33X6-Q9JB5F-V5BQ
37. ee3 (2016/05/04 (Wed) 17:54:04)
  • Ddrt
38. foohoo223 (2016/05/13 (Fri) 03:20:03)
  • siriv6:購入方法
39. siriv6:購入方法 (2016/05/13 (Fri) 03:21:04)
  • foohoo223
40. siriv6:購入方法 (2016/05/13 (Fri) 03:22:50)
  • siriv6:購入方法
41. foohoo223 (2016/05/13 (Fri) 03:24:43)
  • foohoo223
42. siriv6:購入方法 (2016/05/19 (Thu) 07:07:49)
  • foohoo223
43. siriv6:購入方法 (2016/05/19 (Thu) 07:09:12)
  • siriv6:購入方法
44. yudhistira (2016/08/12 (Fri) 21:23:35)
  • あなたはすでに登録されています(`・ω・´)
    購入方法は、「siriv6:購入方法」で確認してください。
45. Anjasnovalieadipratama@gmail.com (2016/08/18 (Thu) 15:29:55)
  • Ajajajajahsnsjaianwwjsns bj sjabagajajaab
46. Anjasnovalieadipratama@gmail.com (2016/08/18 (Thu) 15:30:20)
  • Ajajajajahsnsjaianwwjsns bj sjabagajajaab
47. danny20syahputera@gmail.com (2016/10/11 (Tue) 13:24:00)
  • あなたはすでに登録されています(`・ω・´)
    購入方法は、「siriv6:購入方法」で確認してください。
48. zasx1122. (2016/11/09 (Wed) 17:08:27)
  • リクエストID
49. hakan (2017/10/20 (Fri) 01:10:54)
  • あなたはすでに登録されています(`・ω・´)購入方法は、「siriv5:購入方法」で確認してください。

名前:

コメント:

スパム対策: