Category Archives: Security

Android脆弱性検査の自動化に向けたJandroid導入レポート

こんにちは。LINEでセキュリティを担当しているPark Sunjooです。
LINEのセキュリティチームでは、リリース予定のサービスやアプリケーションのセキュリティリスクを事前に発見することで、プロダクトの安全性向上に努めています。サービスやアプリケーションのセキュリティ検査を行う際、過去にセキュリティ問題を引き起こしたコードと類似したパターンを使用していたり、セキュリティリスクの高いコーディングパターンを再利用することによる脆弱性を発見することが度々あります。このように頻発するセキュリティ上の問題を迅速かつ容易に検出するために、一般的なソリューションを使用したり、独自のツールを開発したりしています。本記事では、Androidアプリで利用可能な自動脆弱性検査ツール「Jandroid」をLINEのAndroidアプリに取り入れ、セキュリティ上の問題を発見した事例を紹介します。

ORK(オーク)-コード難読化コンパイラツール vol.2

こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。前回の記事(発行後リンクを追加)では、サンプルソースコードのコンパイル過程を見ながら、難読化が行われる段階を確認しました。今回の記事では、ORKの難読化がどのように動作するか、またサンプル実行ファイルで見てみましょう。

ORK(オーク)-コード難読化コンパイラツール vol.1

こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。以前、「iOSのコード署名について」という記事では、SIM MINYOUNGさんがiOSアプリの完全性や署名者を検証できるiOSのコード署名について説明しました。今回の記事では、アプリの改ざんや盗用を防ぐために独自で開発している難読化ツールを紹介したいと思います。サンプルソースコードを利用してコンパイラ動作の各段階を確認し、難読化がどのように行われるかを見てみます。

LINE Security Bug Bounty Program Report 2019

こんにちは。LINEセキュリティチームのRobin Lundeです。

2019年はLINEが実施する、外部の方がLINEのアプリケーションに対する脆弱性を発見した場合に報奨金をお支払いするプログラム「LINE Security Bug Bounty Program」にとって、重大な出来事の多い年になりました。

この記事では、2019年における重要なトピックと得られた教訓、そして、2020年のプランをお伝えします。

【インターンレポート】LINEクライアント内に見つかった脆弱性について

初めまして。LINEの夏季インターンシップにセキュリティエンジニアとして参加した小池悠生です。1ヶ月間、アプリケーションセキュリティチームにて、LINEが提供するプロダクトのリスクアセスメントや、オープンソースプロジェクト(https://github.com/line/)のバグハントなどに取り組んでいました。

インターンが始まる前、インターン中の業務として与えられるのは主にリスクアセスメントのみだと思っていたのですが、蓋を開けてみれば自分のしたい事をほとんど自由にさせていただける非常に柔軟なインターンでした。その成果の1つとして、私がLINEクライアント内で見つけた脆弱性についてお話ししたいと思います。

以下、少し技術的な話に終始してしまいますが、この記事を通して皆さんにお伝えしたいことは、
皆さん、必ずLINEクライアントを最新バージョンにアップデートしましょう!!!
ということです

2019-07 LINE x Intertrust Security Summit 2019, Spring レポート

こんにちは、サイバーセキュリティ室の市原です。
毎年開催している LINE x Intertrust Security Summit 2019, Spring(5/29開催)をダイジェスト的に振り返ってみたいと思っています。
今年は、「Safeguarding the New Era of Digital Identity and Digital Trust」というテーマで開催しました。

ゲームセキュリティ運営から見たチート対策としてのモニタリングについて

こんにちは。LINEのgame securityチームでLINE GAMEのセキュリティ運営を担当している李明宰です。

LINE GAMEが誕生してから6年以上(https://6thanniversary.game.line.me/)経ちますが、今回はその6年間を通して、セキュリティ運営から見たゲームのチート対策とそのモニタリングについて、皆さんにご紹介したいと思います。

チートとは、悪意のあるユーザー(以下、アビューザー)により、ゲームを有利に攻略する目的でアプリが改ざんされる行為全般を指します。

LINEでは、LINE GAMEのユーザーの皆さんが安心できるように、ゲームアプリのリリース後、様々な取り組みを通じて、ゲーム内に存在するアビューザーの分析や対応を行っております。

特にチート対策の考え方として、アプリ側での対策のほか、後ほどご紹介するモニタリングを中心とした対応の観点にも着目してお読みいただければと思います。

AIR GOの紹介

こんにちは。AIR GOの開発を担当しているKIM TAEWOOです。このブログではAIR GOを紹介したいと思います。

AIR GOとは一言で言うとAndroid/iOSのビルドバイナリ(APKファイル/IPAファイル)を分析し、脆弱性を含むリスクを発見するツールです。オープンソースツールであるSanDroidなどを利用したことがある方はイメージしやすいと思います。最近社内では、アプリをリリースする際にAIR GOを活用して、リリース前のアプリに含まれるリスクを除去するようにしています。

社内の方であれば誰でもAIR GOにアクセスして利用することができますし、外部の方も、https://airgo.line.meにアカウントを登録すれば利用することが来ます。(1回/1日)

過去にコーポレートページでセキュリティサービス「AIR」を紹介(https://linecorp.com/ja/pr/news/ja/2018/2126)していますが、今回はAIRを構成するツールの一つであるAIR GOについて、エンジニアの観点から紹介します。

2018年上半期LINE Security Bug Bounty Programの結果について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2018年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。

このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

「Bug Bounty」をテーマとしたSecurity Meetupを開催しました!

こんにちは、LINEのセキュリティ室でセキュリティエンジニアをしているコキチーズです。LINEでは、社内のエンジニアであれば誰でも技術イベントの企画や、勉強会での登壇が可能です。またそういったエンジニアの対外的な活動を支援してくれる専門のチームが社内に存在します。
それを利用して「Bug Bounty」をテーマとした勉強会「Meetup in Tokyo #34 – Security Bug Bounty –」を開催しました。
セキュリティの勉強会を主催するのは初めてで不安でしたが、結果的に大勢の方にお越しいただきました。皆様ありがとうございます。