『LINEプロフィール画像改ざん事件、脆弱性検証から逸脱』を解説

第3回の放送は、セキュリティ素人のにしもとと専門家松野さんの放送でした。利用者の多いコミュニケーションアプリ「LINE」に関するニュースを取り上げました。LINEのプロフィール画像改ざん事件の解説とその対策、また付随してバグバウンティプログラムについて、お伺いしました。

ニュースページはこちら(※お届けするニュースは、サイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。)

ニュース解説

『LINEプロフィール画像改ざん事件、脆弱性検証から逸脱』を解説
LINEプロフィール画像改ざん事件。脆弱性検証から逸脱した行為と判断。ライン株式会社は、6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について改めて報告を行った。

――松野）LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能、APIですね。APIというのは”アプリケーションプログラムインターフェース”といって、アプリケーション同士を繋ぐインターフェースです。こちらにアクセス制御の不備があり、第三者がアカウントのプロフィール画像を変更可能な状態とする脆弱性があったという内容です。アクセス制御不備というのは例えば、「プロフィール画像は、アカウント所有ユーザーだけが変更できる」というのが正しいアクセス制御ですが、それを僕が変更できてしまうというのがアクセス制御不備のひとつの例です。

更に、この脆弱性を未然に防ぐ方法と今回の脆弱性が報告された経緯についてお話いただきました。

――松野）この記事の中に2019年8月31日に報告が行われ、同日午後6時2分に修正が完了しているとあります。かなり短いスピードで修正されており、もちろん今のLINEにはこの脆弱性は含まれていません。ユーザーは最新のバージョンにあげていくことでアクセス制御不備が改善されます。もしくは改善された最新のバージョンに自動でなるのかなと思います。そして、提供側は、脆弱性がリリース前に含まれていないかチェックをする必要があります。

記事内の気になるワード「バグバウンティ」

記事の続きに、今回の脆弱性が報告された経緯にLINE社が運営するLINE Security Bug Bounty Programプログラム経由で情報提供が行われたと書かれていました。バグバウンティについて解説いただきました。

――松野）バグバウンティプログラムは別名「バグ報奨金プログラム」とも呼ばれています。簡単に言うと”バグ、脆弱性を含めたセキュリティの問題点を報告したら、内容によって報酬をお支払いします”というもの。報酬は、バグの緊急度で判断されます。今回のプロフィールが変えられてしまうバグは、緊急度が高いと考えられます。

更にバグバウンティの問題点についてもお話いただきました。

――松野）こういったバグ報奨金プログラムでは、一定数「脆弱性自体が報告される過程の中で悪用される」問題があります。今回の記事にあります、「通常の脆弱性の検証の行為から逸脱した、共有された再現手順に基づく行為であると認識」…ちょっとむずかしい表現で書かれています。簡単に言うとLINE社が直す前に、もしくは脆弱性が報告される過程の中で脆弱性自体が悪用されいろんな人のプロフィール画像が変更されてしまった事案が起こっているようです。その結果、「LINE社は不正アクセス禁止法違反の観点で刑事事件として対応をすすめた」と書かれています。これは非常に難しい問題ですが、海外ではこのような悪用を防ぐために、バグバウンティ自体の運用代行を行う会社が存在し、その企業が依頼元へ脆弱性を適切に報告します。バグバウンティプログラムには有名企業でいうと、スターバックスやUber、Twitter、任天堂といった会社が参加しています。

放送には入っていないですが、バグバウンティを利用する本質は”一般的な脆弱性はすべて洗い出す”こと。脆弱性診断などで脆弱性を洗い出し、さらに、ハッカークラスの人間が攻めてきても問題がない状態、”ラストワンマイルを詰めるため”にバグバウンティを利用していることも考えられると松野さんは言われていました。自分に身近なサービスの企業努力を知ることができる回となりました。

終わりに

『今日の10分セキュリティラジオ』は毎週月曜・水曜・金曜日に配信しています。放送はVoicyにて行っています。ぜひ、ご興味ございましたお聞きいただけますと幸いです。

文 にしもと