Category Archives: Security

【インターンレポート】LINEクライアント内に見つかった脆弱性について

初めまして。LINEの夏季インターンシップにセキュリティエンジニアとして参加した小池悠生です。1ヶ月間、アプリケーションセキュリティチームにて、LINEが提供するプロダクトのリスクアセスメントや、オープンソースプロジェクト(https://github.com/line/)のバグハントなどに取り組んでいました。

インターンが始まる前、インターン中の業務として与えられるのは主にリスクアセスメントのみだと思っていたのですが、蓋を開けてみれば自分のしたい事をほとんど自由にさせていただける非常に柔軟なインターンでした。その成果の1つとして、私がLINEクライアント内で見つけた脆弱性についてお話ししたいと思います。

以下、少し技術的な話に終始してしまいますが、この記事を通して皆さんにお伝えしたいことは、
皆さん、必ずLINEクライアントを最新バージョンにアップデートしましょう!!!
ということです

2019-07 LINE x Intertrust Security Summit 2019, Spring レポート

こんにちは、サイバーセキュリティ室の市原です。
毎年開催している LINE x Intertrust Security Summit 2019, Spring(5/29開催)をダイジェスト的に振り返ってみたいと思っています。
今年は、「Safeguarding the New Era of Digital Identity and Digital Trust」というテーマで開催しました。

ゲームセキュリティ運営から見たチート対策としてのモニタリングについて

こんにちは。LINEのgame securityチームでLINE GAMEのセキュリティ運営を担当している李明宰です。

LINE GAMEが誕生してから6年以上(https://6thanniversary.game.line.me/)経ちますが、今回はその6年間を通して、セキュリティ運営から見たゲームのチート対策とそのモニタリングについて、皆さんにご紹介したいと思います。

チートとは、悪意のあるユーザー(以下、アビューザー)により、ゲームを有利に攻略する目的でアプリが改ざんされる行為全般を指します。

LINEでは、LINE GAMEのユーザーの皆さんが安心できるように、ゲームアプリのリリース後、様々な取り組みを通じて、ゲーム内に存在するアビューザーの分析や対応を行っております。

特にチート対策の考え方として、アプリ側での対策のほか、後ほどご紹介するモニタリングを中心とした対応の観点にも着目してお読みいただければと思います。

AIR GOの紹介

こんにちは。AIR GOの開発を担当しているKIM TAEWOOです。このブログではAIR GOを紹介したいと思います。

AIR GOとは一言で言うとAndroid/iOSのビルドバイナリ(APKファイル/IPAファイル)を分析し、脆弱性を含むリスクを発見するツールです。オープンソースツールであるSanDroidなどを利用したことがある方はイメージしやすいと思います。最近社内では、アプリをリリースする際にAIR GOを活用して、リリース前のアプリに含まれるリスクを除去するようにしています。

社内の方であれば誰でもAIR GOにアクセスして利用することができますし、外部の方も、https://airgo.line.meにアカウントを登録すれば利用することが来ます。(1回/1日)

過去にコーポレートページでセキュリティサービス「AIR」を紹介(https://linecorp.com/ja/pr/news/ja/2018/2126)していますが、今回はAIRを構成するツールの一つであるAIR GOについて、エンジニアの観点から紹介します。

2018年上半期LINE Security Bug Bounty Programの結果について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2018年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。

このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

「Bug Bounty」をテーマとしたSecurity Meetupを開催しました!

こんにちは、LINEのセキュリティ室でセキュリティエンジニアをしているコキチーズです。LINEでは、社内のエンジニアであれば誰でも技術イベントの企画や、勉強会での登壇が可能です。またそういったエンジニアの対外的な活動を支援してくれる専門のチームが社内に存在します。
それを利用して「Bug Bounty」をテーマとした勉強会「Meetup in Tokyo #34 – Security Bug Bounty –」を開催しました。
セキュリティの勉強会を主催するのは初めてで不安でしたが、結果的に大勢の方にお越しいただきました。皆様ありがとうございます。

[LINE x SECCON 2017] LINE Security Bug Bounty Program キャンペーンのお知らせ

Developer Relations チームの三木です。

LINEでは、コミュニケーションアプリ「LINE」および一部関連サービスに存在する脆弱性を早期に発見し、ユーザーにより安全なサービスを提供することを目的として、「LINE Security Bug Bounty Program」を実施しています。
該当サービスの安全性向上に繋がると判断した脆弱性の報告を対象に、報奨金を提供しています。

LINEがスポンサーを務めさせて頂いた、日本国内最大のセキュリティコンテストSECCON2017決勝大会(2月17日、東京電機大学)では、セキュリティ室の久保田 量大(@k2wanko)が登壇し、LINE Security Bug Bounty Programの概要やその経緯、具体的な脆弱性の報告事例、皆様に報告頂くにあたってのTipsなどを紹介いたしました。
またその発表の中で、キャンペーン「LINE x SECCON 2017 LINE Security Bug Bounty Program」の開始について、触れさせて頂きました。

告知開始から時間が経過しておりますが、 本Engineering Blogでもあらためてご案内させて頂きます。

2017年LINE Security Bug Bounty Programの結果について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2017年(1月1日〜12月31日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

VoIPのオープンソースライブラリPJSIPにおけるバッファオーバーフロー

こんにちは。セキュリティ室(アプリケーションセキュリティチーム)で主にLINEサービスのセキュリティ診断を担当しているYoungsung Kim(Facebookアカウント/Twitterアカウント)です。

これはLINE Advent Calendar 2017の24日目の記事です。

今日はVoIPのオープンソースライブラリであるPJSIPの脆弱性(CVE-2017-16872およびAST-2017-009)について書かせていただきます。PJSIPは、標準プロトコル(SIP、SDP、RTP、STUN、TURN、ICE)を実装したオープンソースのマルチメディア通信ライブラリです。たとえばIP PBXやVoIPゲートウェイなどで広く使用されているAsteriskフレームワークは、PJSIPを使用してSIPスタックを実装しています。

はじめに

今回発見した脆弱性は、64ビット環境においてクライアントから受け取ったデータを処理する際にsigned intからunsigned longへの暗黙的な型変換(型キャスト)が行われており、そこで整数型の符号拡張を考慮していないことが原因でバッファオーバーフローが発生するというものでした。この脆弱性についての詳細は、「(Security) Function in PJSIP 2.7 miscalculates the length of an unsigned long variable in 64bit machines」を参照してください。

CEDEC 2017 登壇レポート 「LINEゲームのセキュリティ診断手法」

2017年8月30日(水)〜9月1日(金)にパシフィコ横浜で開催された コンピュータエンターテインメントデベロッパーズカンファレンス2017(CEDEC 2017) にて、LINEはPRプログラムスポンサーとして協賛いたしました。8月31日には、セキュリティ室に所属するエンジニアである愛甲健二が、「LINEゲームのセキュリティ診断手法」と題して登壇しました。