LINE株式会社は6月30日、6月27日に複数の新聞社から報道された2019年8月の不正アクセス事件について、改めて報告を行った。
同社では2019年9月2日に、LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIにアクセス制御の不備があり第三者が他アカウントのプロフィール画像を変更可能な状態となっており、その対象として通常の個人用LINEアカウントの他に、LINE@、LINE公式アカウントも含まれると公表していた。なお、本脆弱性は2019年8月31日に、LINE Security Bug Bounty Programを通じて報告が行われ、同日午後6時2分に修正が完了している。
同社では2019年8月の不正アクセス事件について、LINE Security Bug Bounty Programを経由した情報提供などを元に脆弱性の実証コードや具体的な再現手順がいくつかのコミュニティ内で共有されたことを把握しており、本件でのプロフィール画像の改ざん行為の大部分について、通常の脆弱性の検証行為から逸脱した、共有された再現手順に基づく行為であると認識、根本的な原因は同社サービスの不具合に起因するものであるが、同社が管理するアカウント以外に多数の公式アカウントや個人アカウントに被害が及び、不正アクセス禁止法違反の観点から刑事事件として対応を進行していた。
また同社は、刑事事件として対応を進行した経緯として、検察や司法による法令に基づいた適正な対応が実施されることでの再発防止を目的としており、容疑者の特定に繋がる情報の報道や過度な社会的制裁は、同社の意図するものではないとしている。
同社では長期にわたり、社外からの脆弱性報告を受け付ける、バグ報償金プログラム LINE Security Bug Bounty Programを運営、迅速な対応を可能とするため週末や休日における体制の強化も実施しており、脆弱性を発見した場合には、手法を拡散したり、悪用せずに公式な窓口へ報告するよう呼びかけている。
同社では2019年9月2日に、LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIにアクセス制御の不備があり第三者が他アカウントのプロフィール画像を変更可能な状態となっており、その対象として通常の個人用LINEアカウントの他に、LINE@、LINE公式アカウントも含まれると公表していた。なお、本脆弱性は2019年8月31日に、LINE Security Bug Bounty Programを通じて報告が行われ、同日午後6時2分に修正が完了している。
同社では2019年8月の不正アクセス事件について、LINE Security Bug Bounty Programを経由した情報提供などを元に脆弱性の実証コードや具体的な再現手順がいくつかのコミュニティ内で共有されたことを把握しており、本件でのプロフィール画像の改ざん行為の大部分について、通常の脆弱性の検証行為から逸脱した、共有された再現手順に基づく行為であると認識、根本的な原因は同社サービスの不具合に起因するものであるが、同社が管理するアカウント以外に多数の公式アカウントや個人アカウントに被害が及び、不正アクセス禁止法違反の観点から刑事事件として対応を進行していた。
また同社は、刑事事件として対応を進行した経緯として、検察や司法による法令に基づいた適正な対応が実施されることでの再発防止を目的としており、容疑者の特定に繋がる情報の報道や過度な社会的制裁は、同社の意図するものではないとしている。
同社では長期にわたり、社外からの脆弱性報告を受け付ける、バグ報償金プログラム LINE Security Bug Bounty Programを運営、迅速な対応を可能とするため週末や休日における体制の強化も実施しており、脆弱性を発見した場合には、手法を拡散したり、悪用せずに公式な窓口へ報告するよう呼びかけている。
