特定期間におけるLINEのストーリー機能に関する不具合について
2021.11.11
1.概要
2021年7月20日から10月10日までの期間、LINEのストーリー機能(以下「ストーリー」)の脆弱性により、第三者が特定のユーザーから閲覧可能なストーリーの作成時刻、ストーリーの作成者の識別情報、特定のユーザーの一部の友だちリストを閲覧できる不具合(以下、本不具合)をLINE Security Bug Bounty Program(*1)を通じて確認しました。なお、本不具合において、ストーリーの本文が第三者から閲覧できる状態にはなっておりません。本不具合の修正は2021年10月10日20時35分に完了しました。 対象期間以外に本不具合は発生しておりません。 詳細は以下の通りです。
(*1)LINE Security Bug Bounty Program
LINEが実施している、LINEアプリおよび一部関連サービスを対象にサービスの脆弱性の発見を公募し、報告者に報奨金をお支払いするプログラム。
https://bugbounty.linecorp.com/ja/
2.本不具合における影響について
本不具合において、現在確認されている影響期間と規模は以下の通りです。
・対象期間:2021年7月20日 10時53分 (UTC+9)~ 2021年10月10日 20時35分(UTC+9)
・漏洩する可能性があった情報の種類:
特定のユーザーから閲覧可能な、ストーリーの作成時刻、ストーリーの作成者の識別情報、特定のユーザーの一部の友だちリスト
※ストーリーの本文は含まれておらず、第三者から閲覧できる状態にはなっておりません。
・影響を受ける可能性があったユーザー:対象期間中にストーリーを投稿したユーザー
・影響のあったストーリー:対象期間中に投稿したストーリー(投稿した時点からストーリーが自動で削除される24時間)
・不具合発覚後の対応状況について:当社では本不具合の発覚後、速やかに修正対応を行い、2021年10月10日 20時35分に修正を完了しております。
3.原因と再発防止策について
原因:
2021年7月20日 10時53分に、iOS版「LINE」の不具合によりストーリーの認証プロセスへのトラフィックが増加してシステム遅延が発生したため、暫定的に緊急処置を行いました。これによりシステム遅延は解消されましたが、当該緊急措置において本不具合が発生いたしました。
再発防止策:
緊急処置による認証プロセス修正に対する追加確認処理を強化するなど、再発防止に取り組んでまいります
4.対応時系列(日本時間)
・2021年7月20日10時53分 システム遅延の対処に伴い、緊急処置を実施したことにより本不具合が発生
・2021年10月10日16時28分 不具合によって生じる事象をLINE Security Bug Bounty Programへの指摘により確認
・2021年10月10日20時35分 原因の特定および不具合の修正を完了
5.更新履歴
2021年11月11日公開
6.本件に関するお問い合わせ
本件に関するお問い合わせは、下記お問い合わせフォームよりご連絡ください。
https://contact-cc.line.me/detailId/10066
ユーザーの皆さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げます。今後の再発防止とセキュリティ強化に取り組んでまいります。