2019年8月のプロフィール画像の改ざん事件に関する報道について
2020.06.30
2020年6月27日に、複数の新聞社から2019年8月の不正アクセス事件に関する報道がありましたが、この件に関連して当社より改めてのご報告がございます。
本件は、2019年9月2日付けで、下記の通りに公表しています。本脆弱性に起因して、影響を受けた方々には、改めまして、ご迷惑とご心配をおかけしたことをお詫びいたします。
尚、本件における不正アクセス行為は、あくまでLINEアカウントのプロフィール画像の更新に関わる認証機能の不具合に起因して行われたものです。当社サーバーへの侵入やパスワードの漏洩といった、他の被害は発生しておりません。
本件の脆弱性について
本件につきましては、根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、当社管理のアカウントのみならず多数の公式アカウントや個人アカウントに被害が生じる結果となっております。そこで当社としては、不正アクセス禁止法違反の点から刑事事件としての対応を進行して参りました。
本件の発生した当時、LINE Security Bug Bounty Programを経由した情報提供などを元に、脆弱性の実証コードや具体的な再現手順がいくつかのコミュニティ内で共有されていたことを、当社としては把握しております。そして、本件におけるプロフィール画像の改ざん行為の大部分は、これらの共有された再現手順に基づく行為であり、通常の脆弱性の検証行為からは逸脱していたものであったと認識しております。
脆弱性を把握した際に、これを悪用したり、他人のアカウントに影響を与えるような検証行為は、倫理に反する行為であり、刑事責任が発生する場合があります。
当社が運営するLINE Security Bug Bounty Programにおいても、利用規約にて当該行為を禁止事項としております。
なお、本件の脆弱性に関連した被害に対して、刑事事件としての対応を進行した経緯といたしましては、検察や司法による法令に基づいた適正な対応がなされることにより、今後の再発を防止していくことを目的としており、容疑者の特定に繋がりうる情報が報道されたり、過度な社会的制裁につながることは、当社の意図するものではございません。また、一部のSNS等で、犯行内容を好意的に紹介したり、高度な技術によるものだと称賛する投稿がございましたが、違法行為の正当化につながったり、再犯や模倣をまねく可能性がありますため、控えていただきますようお願い申し上げます。
当社のセキュリティ体制について
LINEのような大規模なシステムにおいて、こうした予期せぬ不具合の混入を完全に防ぐことは非常に困難ではありますが、レビューの徹底やテストケースの強化など、継続して改善に取り組んでおります。
当社では、長期にわたって社外からの脆弱性報告を受け付ける、バグ報償金プログラム LINE Security Bug Bounty Programを運営しており、常に迅速なハンドリングが出来るように、週末や休日における体制の強化も行われています。
脆弱性を発見した場合には、手法を拡散したり、悪用したりせず、公式な窓口への報告をお願いします。
また、ご自身で発見した脆弱性ではない場合でも、報告時点で当社が把握しておらず、有益な情報であった場合には、評価や謝礼の対象となる場合があります。迅速な対応や適正な評価のために、他の方が発見した脆弱性である場合や、実証コードが出回っていたり、実際の悪用行為が観測されている場合には、レポートにその旨を含めていただくようお願いいたします。
以上