LINEアカウントのプロフィール画像を変更可能な脆弱性の修正のお知らせ
2019.09.02
2019年8月31日にLINE Security Bug Bounty Programを通じて プロフィール画像アップロード機能におけるセキュリティバグ(脆弱性)報告を受け、その修正を行なったことをお知らせいたします。
2020年6月30日追記: 本件に関して追加情報があります。2019年8月のプロフィール画像の改ざん事件に関する報道について
1. 脆弱性の概要
LINEアカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIにおいて、アクセス制御の不備がありました。
これにより、第三者によって、他アカウントのプロフィール画像を意図的に変更可能な状態となっていました。この脆弱性の影響を受ける対象は、通常の個人用LINEアカウントの他に、LINE@、LINE公式アカウントも含まれます。本脆弱性については、画像アップロード機能に関するものであり、パスワードや個人情報の漏洩は確認されておりません。
また、本脆弱性は、2019年8月31日 18:02に修正が完了しております。
2. 対応について
本脆弱性は、LINE Security Bug Bounty Programを通じて報告を受けたものですが、報告者による情報提供及び、LINE社にて調査を行った結果、少なくとも2019年8月30日より2019年8月31日にかけて、本脆弱性を利用してプロフィール画像を不正に変更する攻撃を受けており、これらのうち、LINE公式アカウント(プレミアムアカウント)を含む一部のアカウントのお客様に対しては、個別のご連絡をさせて頂いております。また、個人用LINEアカウントに関しましては、調査時点において不正な変更が確認されたプロフィール画像についてLINE社にてデフォルトのプロフィール画像に変更および、個別のご連絡をさせて頂いております。
尚、本脆弱性は、2019年5月17日より存在していた事が判明しており、現在、過去に遡って発生していた事象について、調査を進めております。
今後の調査において新たな影響が確認されLINE社側での対応が必要となった場合には、本記事の更新及び、対象者へ個別のご連絡をさせて頂きますが、プロフィール画像の不正変更についてのLINE社側での網羅的な確認には時間を要する見込みであるため、大変お手数をおかけいたしますがお客様ご自身によるご確認をお願いいたします。
また、本記事掲載時点でプロフィール画像が書き換えられたままとなっており、ご本人様による復旧が必要となった場合には、当社による影響調査で把握できていない可能性がございますので、記事下部のお問い合わせフォームからご連絡をいただけますと幸いです。
2.1 お客様ご自身によるご確認のお願い
2.1.1 個人のLINEアカウントをご利用のお客様
- 個人のLINEの場合、以下のご確認をお願いいたします。
- ご自身のプロフィール画像をご確認ください。
- 「プロフィール > 画像の変更を投稿」の設定が有効になっている場合、プロフィール画像の変更がタイムラインに投稿されています。
ご自身でプロフィール画像を復旧させた場合には、タイムラインに不審な投稿がないかどうかも併せてご確認ください。
2.1.2 LINE@、公式アカウントをご利用のお客様
- LINE公式アカウントやLINE@の場合、以下の点をご留意ください。
- LINE公式アカウントやLINE@の管理画面上では正しい画像が設定されていても、LINEアプリ上では画像が置き換わっている場合がありますので、必ずLINEアプリでプロフィール画像をご確認ください。既にアカウントを友だち登録している場合は、一度ブロックをして、その後ブロック解除を行うと、プロフィール画像の置き換え有無をご確認いただけます。
- 以下のお知らせも併せてご参照ください。
- LINE@のアカウントを管理されているお客様
- LINE公式アカウントを管理されているお客様
- LINE公式アカウントを管理されているお客様のうち、新プラットフォームへの移行がまだお済みでない方
3. 脆弱性発覚からの対応時系列(日本時間)
- 2019/08/31 02:15 LINE Security Bug Bounty Programを通じた脆弱性の報告
- 2019/08/31 14:25 プロフィール画像が不正に変更されたケースを確認
- 2019/08/31 18:02 脆弱性の修正を完了、影響を受けたアカウントについては順次影響調査及び復旧作業を進行
- 2019/08/31 23:40 LINE@/LINE公式アカウント 管理者用サイトにてお知らせを掲載
- 2019/09/01 00:10 LINE公式アカウント(新プラットフォーム) 管理者用サイトにてお知らせを掲載
- 2019/09/01 00:47 個人用のLINEアカウントにおいて影響を受けたプロフィール画像の初期化を実施
4. LINE Security Bug Bounty Programについて
LINE Security Bug Bounty Programでは、引き続き脆弱性の報告を受け付けております。2019年6月現時点における脆弱性の認定は以下の通りです。
https://linecorp.com/ja/security/article/212
https://bugbounty.linecorp.com/ja/halloffame/
LINEグループでは透明性を保つため、重要な脆弱性は今後も公開を検討してまいります。
5. 本件に関するお問い合わせ
LINE(個人のLINEアカウントをご利用のお客様)
https://contact-cc.line.me/detailId/10095
LINE公式アカウント/LINE@をご利用のお客様
https://contact-cc.line.me/detailId/12698
(2019年10月2日まで)
以上