LINE PLACEにおける投稿済みレシート画像に関するお知らせとお詫び
2023.06.28
このたび、LINE CONOMI株式会社が提供するサービス「LINE PLACE」(※1)に投稿されたレシート画像、およびそのURLにおいて、第三者が、開発ツールを用いて専門的な操作(※2)をした場合に、閲覧可能となる脆弱性(以下、本事象)を確認いたしました。
本事象の概要について、以下のとおりご報告いたしますとともに、ユーザーの皆さまには多大なるご心配をおかけしますことを、深くお詫び申し上げます。
なお、本事象は2023年3月30日に脆弱性の修正が完了しています。
1. 発生した事象
ユーザーがLINE PLACEに投稿した以下2点の情報について、第三者が開発ツールを用いて専門的な操作(※2)をした場合に閲覧可能となる脆弱性がございました。
・2018年11月28日〜2023年3月30日の期間に投稿されたレシート画像(※3)のURL
事象発生期間:2020年7月20日〜2023年3月30日
・2020年8月4日〜2023年3月30日の期間に投稿されたレシート画像(※3)
事象発生期間:2021年1月28日〜2023年3月30日
本事象は、投稿済レシート画像を投稿者本人が閲覧できる機能の新規実装時・更新時の誤った処理により発生しました。
2. 本事象の影響
第三者が脆弱性を利用する意図を持って、開発ツールを用いて操作をした場合に、レシート画像のURLを取得し、レシート画像を閲覧する可能性がありました。
なお、レシート画像に以下の情報が含まれている可能性があります。
・氏名
宛名に氏名が記載された領収書を投稿していた場合。
・クレジットカード番号の一部
クレジットカード番号の一部を掲載する形式のレシートを投稿していた場合。なお、本情報のみでは、決済で悪用される可能性は低いと考えられます。
・Exif情報(※4)
スマートフォンなどで位置情報を記録するオプションを有効にしていて、投稿していた場合。
3. 時系列対応
・2023年3月27日 LINE Security Bug Bounty Program(※5)を通じてLINE株式会社よりLINE CONOMI株式会社への報告があり、本事象を把握
・2023年3月30日 該当の脆弱性箇所を修正
・2023年5月30日 社内調査の結果、本事象が個別通知および公表すべき事象と判断
・2023年6月28日 本事象に関する公表を実施
4. ユーザーの皆さまへのお知らせ
本事象の修正は完了しており、本件に関し、ユーザーの皆さまにおいてご対応いただく事項はございません。
投稿済レシートを削除される場合は、そのレシートに紐づく口コミ・インセンティブが削除・回収されます点、ご理解賜りますようお願い申し上げます。
5. 本件に関する通知・公表、および問い合わせ先
本事象の影響を受ける可能性があったユーザーの皆さまについては、「LINE PLACE」アプリ、および「LINE PLACE」LINE公式アカウントからの通知、また本公表文によりお知らせを実施しております。
本件に関するユーザーの皆さまからのお問い合わせは、下記窓口よりご連絡ください。
https://contact-cc.line.me/category2Id/15189
問い合わせフォームがうまく機能しない場合は、上記URLを用いてブラウザより閲覧ください。
改めまして、LINE PLACEユーザーの皆さまにご心配をおかけしておりますことを、深くお詫び申し上げるとともに、今後の再発防止とセキュリティ強化に取り組んでまいります。
※1:「LINE PLACE」は2021年8月31日まで、「LINE CONOMI」の名称で運営しておりました。2021年8月31日までは、「LINE CONOMI」上で本事象が発生していました。
※2 :本事象における「専門的な操作」とは、脆弱性を利用する意図を持ってリクエストを送る操作を指します。
※3 :「LINE PLACE」、およびLINE PLACEと連携した状態の「LINEレシート」を通じて投稿されたものが対象。
※4: 画像の撮影日時や位置情報、撮影機材などが分かるデータを意味します。
※5 :LINE Security Bug Bounty Program: LINEが実施している、LINEアプリおよび一部関連サービスを対象にサービスの脆弱性の発見を公募し、報告者に報奨金をお支払いするプログラム。 https://bugbounty.linecorp.com/ja/