大量のグループ招待及び友だち追加の発生に関するお知らせとお詫び
2020.11.17
1. 概要
2020年10月15日の午後5時から2020年11月03日の午前10時までの間、不審なBot(※1)がLINEのユーザーの同意なく、強制的に友だちとして追加される、また、当該Botが作ったLINEグループに招待されるという事案が、約12万を超えるLINEユーザーを対象に発生いたしました。影響を受けたお客様には、ご不便とご迷惑をおかけしました事を心よりお詫び申し上げます。
経緯についての詳細は、以下の通りです。
※1 本来、自動応答や翻訳など機能を提供するもの
2. 本事案における影響について
LINEでは、通常のLINEアカウントの他に、企業や店舗からのお知らせを発信する「LINE公式アカウント」という機能を提供しています。自動応答や翻訳などの機能を提供するものは「Bot」と呼ばれます。「LINE公式アカウント」はLINE利用者の同意なく、自動で友だちに追加されたり、メッセージやグループ招待を一方的に送信されるといったことは、通常は発生いたしません。
本事案におけるBotの友だちへの追加や、グループへの招待は、LINEが管理する特別なアカウントである「CLOVA専用アカウント」(※2)の仕様が悪用されたことによるものです。そのため、本事案に関連して、お客様のLINEアカウントに関する情報漏洩やアカウントの乗っ取り等は発生しておりません。しかしながら、一部のお客さまにつきましては、大量のグループ招待によってLINEの利用が困難になるといった障害が発生いたしました。
※2 「CLOVA専用アカウント」について
「CLOVA専用アカウント」は、LINEが開発したAIアシスタント「CLOVA Assistant」からLINEを利用するための特別なLINEアカウントです。「CLOVA Assistant」のLINEメッセージ送受信機能を利用する場合、「CLOVA専用アカウント」と友だちになる必要があります。これにより、「CLOVA専用アカウント」を介して、参加しているLINEグループの内容を音声で読み上げたり、メッセージを送信したりすることができます。
本事案における影響は、以下の通りとなります。
・お客様への影響
不審なBotが友だちとして追加される
不審なBotからグループ招待される
・影響期間: 2020年10月15日の午後5時から2020年11月03日の午前10時までの間
・友だち追加や招待したBotの数:7,768
・影響を受けたユーザー数/国家別
合計:121,221
国家別の内訳
日本 15,530
台湾 87,197
タイ 2,813
インドネシア 7,084
その他 8,597
3. 原因や対応状況について
本事案の原因や対応状況については、以下の通りとなります。
発覚の経緯について
・10月15日 LINE Bug Bounty Programを通じて、本事案の原因となる不具合の報告がLINE社に届きました。
・本件報告により、当社で提供しているサービス「CLOVA Assistant」において利用する一部のAPIを用いることで、友だち関係にないLINE利用者に対して、グループ招待を行ったり「CLOVA専用アカウント」を強制的に友だち追加することが可能な脆弱性があることが判明いたしました。(現在は、対象APIに対してパッチを適用、対応完了いたしました)
・報告者によると、報告者の所有するLINEアカウントにより、報告者の管理外のアカウントも巻き込んだ複数回の検証行為が行われています。
・詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。
・本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
影響を受けた利用者について
・本事案の影響を受けた利用者は、悪用を行った人物が予め把握していたLINEの内部識別子によって迷惑行為の対象となったと当社では推定しています。
・例えば、共通のLINEグループへの参加や、電話番号やLINE IDによる検索、LINEの各種サービス上での全体公開の活動等によって、利用者の情報が収集され、迷惑行為の対象とされました。
・Botから取得可能な利用者の情報は、利用者の公開情報(表示名、プロフィール画像、ステータスメッセージ等)のみに制限されているため、本事案によって追加の情報漏洩は発生しておりません。
当社による対応について
・本事案を起こしたBotは、現在削除を完了しております。
・また、多くのグループに招待を受けているお客様を対象に、グループ招待のキャンセル処理(※3)を実施、完了しております。
・当該グループに参加済みの場合には自動で削除はされないため、お手数をおかけいたしますが、お客様ご自身にて、当該グループ内での「グループ退会」により退会、及びグループを削除して頂くようお願い申し上げます。
・また、本事案を起こしたBotによる大量のリクエストにより、「CLOVA Assistant」のサービス自体の障害が発生しておりました。この点につきましても、ご利用の皆様にご不便をおかけしました事をお詫び申し上げます。
※3 ... グループへの参加依頼の解消。グループ参加済みの場合には、キャンセル処理されません。
4. 発覚からの対応時系列(日本時間)
・2020年10月15日 17:56 LINE Bug Bounty Programを通じ、今回の事象に関する報告を受信
・2020年10月29日 18:15 お客様から「CLOVA専用アカウント」と表示されるBOTによるグループ招待及び友達追加されたとの報告を受信
・2020年11月2日 10:38 特定のBotにより、「CLOVA Assistant」関連の特定APIが多量に呼び出された(同日2:00)ことを確認
・2020年11月2日 16:00 「CLOVA専用アカウント」と表示される14のBotを削除
・2020年11月2日 20:30 「CLOVA Assistant」関連APIに対するパッチ配布(1回目)
・2020年11月3日 13:39 「CLOVA Assistant」で発生した障害について、Twitter上で案内
(障害発生期間:11月2日 11:40-13:51, 19:18-22:17)
・2020年11月4日 19:00 当該Botによるグループ招待されたお客様に対してグループ招待のキャンセル処理を実施(1回目)
・2020年11月4日 20:05 「CLOVA Assistant」関連APIに対するパッチ配布(2回目)
・2020年11月5日 19:00 当該Botによりグループ招待されたお客様に対するグループ招待のキャンセル処理を実施(2回目)
・2020年11月16日 15:46 当該Botによりグループ招待されたお客様に対するグループ招待のキャンセル処理を実施(3回目)
・2020年11月17日 19:40 LINEの公式アカウントを通じたユーザー(※4)への通知(日本、インドネシア、その他)
・2020年11月18日 11:35 LINEの公式アカウントを通じたユーザーへの通知(台湾)
・2020年11月18日 17:30 当該Botによりグループ招待されたお客様に対するグループ招待のキャンセル処理を実施(4回目)
・2020年11月18日 20:10 LINEの公式アカウントを通じたユーザーへの通知(タイ)
・2020年11月20日 10:30 当該Botによりグループ招待されたお客様に対するグループ招待のキャンセル処理を実施(5回目)
・2020年11月24日 17:42 LINEの公式アカウントを通じたユーザーへの通知(日本、台湾、インドネシア、タイ、その他)
5. 当社サービスに対する不具合報告についてのお願い
セキュリティ研究者の方へ
当社は、2016年より運営しているLINE Security Bug Bounty Programにて、当社サービスの脆弱性に関する報告を受け付けており、本プログラムの規定に基づく報奨金のお支払いをさせて頂いております。
今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。
・報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。
・脆弱性を検証する際には、他人のアカウントに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
・spamやサービス拒否に繋がる脆弱性については、対策や制限によって通常の利用方法に対する副作用が発生するような場合もあるため、修正可否の判断も含め、通常よりも対応に時間がかかる場合がございます。
脆弱性を把握した際には、これを悪用したり、発見した手法を拡散したり、他人のアカウントに影響を与えるような検証行為は絶対に行わず、速やかに当社の窓口への報告をお願いします。当プログラムの利用規約においても、当該行為を禁止事項としております。 規約違反が確認された場合には、報奨金の支払いやプログラムへの今後の参加をお断りさせていただく可能性がございます。Bug Bounty Programの規約違反行為が発覚した場合には、脆弱性の検証にあたっての免責条項が適用されなくなり、不正アクセス行為やサービス妨害行為には刑事責任が発生する場合もございます。
LINEの不具合や脆弱性に関する情報を見かけた方へ
LINEの不具合に関して、悪用方法が共有されていたり、既に公知になっているような場合であっても、他のLINEのユーザーへの迷惑となる行為はくれぐれもお控えください。LINE利用者への被害や、当社サービス運用に重大な支障が生じる場合には、当社としても毅然とした対応を行います。
LINEのセキュリティに関する不具合の情報や、その実証コードが出回っていたのを見つけた場合、LINE Security Bug Bounty Programにご報告をいただければ幸いです。ご自身で発見した脆弱性ではない場合であっても、報告時点で当社が把握しておらず、有益な情報であった場合には、評価や謝礼の対象となる場合があります。迅速な対応や適正な評価のために、他の方が発見した脆弱性である場合や、実際の悪用行為が観測されている場合には、レポートにその旨を含めてただくようお願いいたします。
ご理解の程、宜しくお願い致します。
6. 更新履歴
2020年11月17日公開
7. 本件に関するお問い合わせ
本件に関するお問い合わせ(個人のLINEアカウントをご利用のお客様)
https://contact-cc.line.me/detailId/10666
改めまして、お客様に多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、今後の再発防止に取り組んでまいります。