LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE) | ScanNetSecurity
2024.03.29(金)

LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

LINE株式会社は6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について、改めて報告を行った。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 3 枚 拡大写真
LINE株式会社は6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について、改めて報告を行った。

同社では2019年9月2日に、LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIにアクセス制御の不備があり第三者が他アカウントのプロフィール画像を変更可能な状態となっており、その対象として通常の個人用LINEアカウントの他に、LINE@、LINE公式アカウントも含まれると公表していた。なお、本脆弱性は2019年8月31日に、LINE Security Bug Bounty Programを通じて報告が行われ、同日午後6時2分に修正が完了している。

同社では2019年8月の不正アクセス事件について、LINE Security Bug Bounty Programを経由した情報提供などを元に脆弱性の実証コードや具体的な再現手順がいくつかのコミュニティ内で共有されたことを把握しており、本件でのプロフィール画像の改ざん行為の大部分について、通常の脆弱性の検証行為から逸脱した、共有された再現手順に基づく行為であると認識、根本的な原因は同社サービスの不具合に起因するものであるが、同社が管理するアカウント以外に多数の公式アカウントや個人アカウントに被害が及び、不正アクセス禁止法違反の観点から刑事事件として対応を進行していた。

また同社は、刑事事件として対応を進行した経緯として、検察や司法による法令に基づいた適正な対応が実施されることでの再発防止を目的としており、容疑者の特定に繋がる情報の報道や過度な社会的制裁は、同社の意図するものではないとしている。

同社では長期にわたり、社外からの脆弱性報告を受け付ける、バグ報償金プログラム LINE Security Bug Bounty Programを運営、迅速な対応を可能とするため週末や休日における体制の強化も実施しており、脆弱性を発見した場合には、手法を拡散したり、悪用せずに公式な窓口へ報告するよう呼びかけている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る