LINE Engineering
Blog

2018年上半期LINE Security Bug Bounty Programの結果について

MJ 2018.07.27

LINEでセキュリティに関する業務を担当しています。

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2018年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。

このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

受付状況

脆弱性報告フォームからの受付状況は以下のとおりです。

日付/脆弱性別の受付状況

2018年の上半期(1月1日から6月30日まで)では、148件の報告を受付いたしました。以下の【図1】は、日別(週別)の受付件数、受付脆弱性名の割合をグラフで表現したものです。

2017年の上半期(96件)と比べると受付件数は、およそ64%が増加しました。


【図1】 日別(週別)受付件数、受付した脆弱性名の割合

国別アクセス

今回受け付けた148件のうち、日本国内からは35件、海外からは113件の報告がありました。以下【図2】は2018年の上半期にWEBサイトへアクセスされた国別の割合ですが、日本のみならず海外からも高い関心があったことがわかりました。

【図2】 国別アクセス割合

審査結果

今回のプログラムでは、XSS、CSRFなど合計33件が脆弱性として認定されました。

審査結果については、Hall of fameページから確認することができます。

Hall of fameの更新状況はこちらでアナウンスを行っています。


2018年の上半期で発生した報奨金の総額は、48,000 USDでした。以下【図3】は、報奨金の国別の割合です。

【図3】 報奨金の割合

審査の結果、利用規約上プログラムの対象ではなかったため、正式には認定できないものがあり、その中でもLINEにとって有益な情報であった報告については、特別な取り扱いとしてSpecial Contributorsという枠を設け、2018年の上半期には、11人の方を認定させていただきました。

現在までの統計や報奨金の支払いの流れについて

現在までの統計

2015年
(プログラム初実施)
2016年
(常時運営開始)
2017年
(プログラム対象拡大)
2018年
(報奨金テーブルの更新)
実施期間8/24~9/236/2~12/311/1~12/311/1~6/30
受付件数194件
(日本国内:89+海外:105)
97件
(日本国内:15+海外:82)
212件
(日本国内:11+海外:201)
148件
(日本国内:35+海外:113)
報奨金対象の脆弱性件数14134533
hall of fame8人3人11人9人
special contributors9人8人21人11人
発生した報奨金USD 44,000USD 27,000USD 76,500USD 48,000

報奨金支払いの流れ

LINE Security Bug Bounty Programに報告された脆弱性が認定された場合、報奨金を支払います。報奨金の支払いの流れは以下のとおりです。
  1. 報告者が脆弱性を報告する
  2. LINEの担当者が報告内容の審査を行う
  3. 報告された脆弱性が認定された場合は、報奨金について案内を行う
  4. 報告者が支払いに同意をする
  5. 報告者が支払に必要な情報を提出する
  6. LINEの担当者が書類の確認を行う
  7. LINEが報奨金を支払う
  8. 詳細は、こちらのQ12を参照してください。

    なお、2018年上半期では、受付から報奨金案内に掛かった(No.1~No.3)平均時間は、約10日、報奨金案内から報奨金の支払いまでに掛かった(No.3~No.7)平均時間は、約41日となりました。

    (2017年では、報奨金案内から報奨金の支払いまでに掛かった(No.3~No.7)平均時間は、約52日でした。)

    報奨金の参考金額テーブルの更新について

    「LINE Security Bug Bounty Program」として常時運営を開始(2016年6月2日)して以降、プログラムの改善の一環として、報奨金額の目安となった脆弱性ごとの報奨金の参考金額テーブルを更新しました。(2018年3月19日

    報奨金は、当社の裁量により、報告された脆弱性の深刻性、新規性等に基づき決定しますが、既存の報奨金の参考金額テーブルにはなかった以下の項目を追加しました。(報奨金額の目安についてトップページや利用規約のページに記載しております。)

    • Improper Certificate Validation
    • Server-Side Request Forgery (SSRF)
    • Client-Side Enforcement of Server-Side Security
    • Improper Access Control
    • Password in Configuration File
    • Insecure Direct Object Reference (IDOR)
    • Information Exposure Through Debug Information
    • Privilege Escalation
    • Cleartext Transmission of Sensitive Information
    • Path Traversal

      • 報奨金の参考金額のテーブル
        脆弱性名 説明 参考金額
        SQL Injection SQLインジェクションにより、個人情報閲覧が可能 USD 3,000
        Cross-Site Scripting (XSS) XSSにより、sessionhijackやスクリプト実行が可能 USD 500~
        Cross-Site Request Forgery (CSRF) CSRFにより、ユーザが意図しない処理をさせることが可能 USD 500
        Remote Code Execution クライアントあるいはサーバ側で任意コードを実行させることが可能 USD 10,000
        authentication bypass 認証をバイパスし、成りすましが可能 USD 5,000
        purchase bypass 課金をバイパスし、アイテムを購入可能 USD 5,000
        encryption break 暗号化された通信の解読により他人の認証情報が取得可能 USD 10,000
        Improper Certificate Validation 証明書の検証不備により、SSL通信が盗聴可能 USD 10,000
        Server-Side Request Forgery (SSRF) WEBサーバーを中継して、本来外部からは到達できない別のサーバーやネットワークに攻撃が可能 USD 2,500
        Client-Side Enforcement of Server-Side Security クライアントサイドのみ妥当性チェックを行っているため、回避可能 USD 500
        Improper Access Control アクセス制限の不備により、本来非公開ページが閲覧可能 USD 500~
        Password in Configuration File 設定ファイルにパスワードなど重要な情報が閲覧可能 USD 500
        Insecure Direct Object Reference (IDOR) セキュア実装不備により、オブジェクトの直接参照が可能 USD 5,000
        Information Exposure Through Debug Information デバッグ情報の漏洩により、重要な情報が閲覧可能 USD 500
        Privilege Escalation 一般ユーザーが、管理者などのより上位の権限を持つことが可能 USD 3,000
        Cleartext Transmission of Sensitive Information 重要な情報を平文で送信して盗聴可能 USD 500~
        Path Traversal Webアプリケーションのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセス可能 USD 500~
        Other その他 USD 500

LINE-Bug-Bounty Bug-Bounty Bug Bounty LINE Bug Bounty

MJ 2018.07.27

LINEでセキュリティに関する業務を担当しています。

Add this entry to Hatena bookmark

リストへ戻る