LINE、脆弱性情報への報奨金プログラムを実施へ

サイボウズなども導入している脆弱性報告者に報奨金を支払うプログラムを実施する。

[ITmedia]

　LINEは8月5日、iOS/Android版「LINE」アプリの脆弱性発見者に報奨金を支払う「LINE Bug Bounty Program」を実施すると発表した。脆弱性情報の募集期間は24日午前0時から9月23日の午前0時までで、脆弱性の重要度に応じて500〜2万ドル（最低額）を支払うとしている。

LINE Bug Bounty Programのページ

　脆弱性情報の報告者に報奨金を支払う仕組み（バグバウンティプログラム）は、海外ではGoogleやMicrosoft、Mozilla、Facebookなどが導入しており、国内でもサイボウズが2014年にスタートさせている。脆弱性情報は個別対応しているケースが多いものの、バグバウンティプログラムではより多くの脆弱性情報が提供されるため、セキュリティ問題の早期解決やソフトウェア製品の品質向上に大きく貢献する施策として、世界中で注目されている。

　LINE Bug Bounty Programで対象になるは、「LINE for ios」「LINE for android」のバージョン 5.2.0以上のアプリで、「*.line-apps.com」「*.line.me」「*.line.naver.jp」のドメインで発見された脆弱性。受付期間終了後に同社内で審査し、結果を公表するほか、同意を得た報告者の名前を謝辞として公開する。

　脆弱性の種類と報奨金の最低額は以下の通り。なお、自動検査ツールで発見された脆弱性をそのまま報告した場合やコンセプト実証コードを伴わない報告、サービス妨害（DoS）攻撃につながる脆弱性などは審査対象にならないという。

脆弱性名	内容	最低金額
message/call eavesdropping	他人のメッセージ、通話を盗聴、解読、改変、及び終了可能	1万ドル
SQL Injection	SQLインジェクションにより、個人情報閲覧が可能	3000ドル
Cross-Site Scripting（XSS）	クロスサイトスクリプティングにより、セッションハイジャックやスクリプト実行が可能	500ドル
Cross-Site Request Forgery（CSRF）	クロスサイトリクエストフォージェリにより、LINE利用者が意図しない処理をさせることが可能	500ドル
Client-Side Remote Code Execution	細工された任意のメッセージをLINEへ送信し、受信端末で任意コードを実行させることが可能	2万ドル
Server-Side Remote Code Execution	細工された任意のパケットをサーバ側へ送信し、サーバ側で任意のコードを実行させることが可能	1万ドル
authentication bypass	認証を迂回して、なりすましが可能	5000ドル
purchase bypass	課金を迂回し、アイテムを購入可能	5000ドル
Other	その他	500ドル

　なお、プログラムに参加できるのは原則として成年で、日本語もしくは英語でコミュニケーションが可能なこと。プログラム期間中や報酬支払時に経済制裁措置対象国の居住者は応募できない。

　同社では併せて製品などに関するセキュリティ情報ページをリニューアルした。

セキュリティ対策の取り組み