LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE) | ScanNetSecurity
2020.08.09(日)

LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

LINE株式会社は6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について、改めて報告を行った。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 3 枚 拡大写真
LINE株式会社は6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について、改めて報告を行った。

同社では2019年9月2日に、LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIにアクセス制御の不備があり第三者が他アカウントのプロフィール画像を変更可能な状態となっており、その対象として通常の個人用LINEアカウントの他に、LINE@、LINE公式アカウントも含まれると公表していた。なお、本脆弱性は2019年8月31日に、LINE Security Bug Bounty Programを通じて報告が行われ、同日午後6時2分に修正が完了している。

同社では2019年8月の不正アクセス事件について、LINE Security Bug Bounty Programを経由した情報提供などを元に脆弱性の実証コードや具体的な再現手順がいくつかのコミュニティ内で共有されたことを把握しており、本件でのプロフィール画像の改ざん行為の大部分について、通常の脆弱性の検証行為から逸脱した、共有された再現手順に基づく行為であると認識、根本的な原因は同社サービスの不具合に起因するものであるが、同社が管理するアカウント以外に多数の公式アカウントや個人アカウントに被害が及び、不正アクセス禁止法違反の観点から刑事事件として対応を進行していた。

また同社は、刑事事件として対応を進行した経緯として、検察や司法による法令に基づいた適正な対応が実施されることでの再発防止を目的としており、容疑者の特定に繋がる情報の報道や過度な社会的制裁は、同社の意図するものではないとしている。

同社では長期にわたり、社外からの脆弱性報告を受け付ける、バグ報償金プログラム LINE Security Bug Bounty Programを運営、迅速な対応を可能とするため週末や休日における体制の強化も実施しており、脆弱性を発見した場合には、手法を拡散したり、悪用せずに公式な窓口へ報告するよう呼びかけている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  2. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  3. ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]

    ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]

  4. COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

    COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

  5. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  6. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  7. いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション

    いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション

  8. テレワークで増えた3つの業務とは、実態調査を発表(ALSI)

    テレワークで増えた3つの業務とは、実態調査を発表(ALSI)

  9. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  10. 「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹)

    「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹)

ランキングをもっと見る