こんにちは。LINEでセキュリティを担当しているMJです。今回の記事では、LINEのBug Bountyプログラムについてご紹介させていただきます。
Bug Bountyとは
Bug Bountyとは、自社の製品やサービスのキュリティ上の脆弱性を発見した人に報奨金を支払うプログラムで、グローバル企業では製品・サービスのセキュリティ強化策として積極的に取り入れられています。実際、多数の企業がこのプログラムを活用して自社のサービスの品質改善とセキュリティ向上を図り、セキュリティ問題を解決しています。
LINEは、毎月の実ユーザー数が2億人以上に達するグローバル企業に成長しました。この成長過程で、数多くのアプリケーションと増えたユーザーをセキュリティーの脅威から保護することが求められるようになりました。そのため、LINEはBug Bountyプログラムを実施することで、より安心・安全なサービスの提供を目指してまいります。
Bug Bountyプログラムの最大の目標は、自社の製品・サービスの脆弱性をできるだけ早期に見つけて安心できるサービスを提供し、ユーザーを保護することにあります。ハッキング技術は日々進歩しており、ゼロデイ攻撃(Zero day attack)が頻発しています。しかもそのような攻撃が個人レベルではなく組織的に行われるという現在のインターネットの状況を見ると、どの企業でもセキュリティ面で100%の安全性を保証するのは難しいでしょう。なお、IT技術は目まぐるしい速度で発展し続けているため、攻撃者の観点から考えないとセキュリティの脅威を防ぎにくいのが現状です。これを受け、LINEでもBug Bountyプログラムを導入して世界中のホワイトハッカーの皆様より脆弱性の報告を受け付け、セキュリティ問題の改善に向けて積極的に取り組んでいます。
他社のBug Bounty
これまでLINEは、社内専従セキュリティチームによる脆弱性分析のほかにも、日本とタイのCERT部門からフィードバックを受けて共同で対応し、不具合を改善してきました。こうした取り組みに加え、さらに積極的に脆弱性を探すためにBug Bountyプログラムを導入することを決めました。
GoogleやFacebook、Microsoftのようなグローバル企業の場合、自社の製品およびサービスのセキュリティ強化策としてBug Bountyプログラムを積極的に活用しています。
| 企業名 | Bug Bountyプログラムの運営状況 |
|---|---|
| 2010年に脆弱性のリワードプログラムをスタート。脆弱性の種類によって100ドルから20,000ドルまでの報酬を提供。 | |
| 2011年より運営。報奨額は最低500ドル、上限はなし。 | |
| Microsoft | 2013年より多彩なプログラムを展開。同年11月にFacebookと共同で立ち上げた「Internet Bug Bounty Program」では最低5000ドルの報奨金を提示。 |
サービスのグローバル展開を行う海外企業の間では、サービスの不具合を改善でき、ハッキングによる事故を予防できるBug Bountyプログラムは当たり前と言えるほど、同プログラムを運営する企業は多数に上ります。以下のURLにて、Bug Bountyプログラムを提供している企業のリストをご確認できます。 Bug Bountyプログラムがある企業
なお、企業がプログラムの運営に直接関わらず、会員制Bug Bountyプログラムを運営する会社を通じて同プログラムを提供している場合もあります。代表的な運営会社としては「HackerOne」があり、多くの企業が利用しています。
最近、マイクロソフト社が新OSのWindows 10とともにリリースされるウェブブラウザ「Microsoft Edge(コード名:Spartan)」に対するBug Bountyプログラムを運営し、話題になりました。上海で開催された「Mobile Security Conference(MOSEC) 2015」では、同社のBug Bountyプログラムについての紹介がありました。
(上記の写真は、筆者がMOSEC 2015の会場で撮影したものです)
マイクロソフト社は、多数の製品とサービスを提供しているだけに、各製品・サービスに特化した様々な形のBug Bountyプログラムを運営していました。なお、毎年数百人以上のホワイトハッカーから脆弱性の報告を受け取っていました。ホワイトハッカーは一部の地域に集中しているわけではなく、アジア、ヨーロッパ、北米・南米大陸など世界各地に広がっています。同社は、脆弱性の報告者が自社の製品・サービスの安全性向上に非常に大きな役割を果たしていることから、彼らとの関係を保つために絶え間なく努力していました。
このように海外ではBug Bountyが活発に行われているのに対し、日本と韓国においては一部の企業だけがBug Bountyプログラムを運営しています。
LINE Bug Bounty Program
LINEは、2015年8月半ばから1ヶ月間、「LINE Bug Bounty Program(脆弱性報奨金制度)」を展開します。コミュニケーションアプリ「LINE」の脆弱性を発見し、ご報告いただいた方には、謝礼として報奨金をお支払いいたします。報奨額はご報告の内容によって異なり、1件あたり最低500米ドルから20,000米ドルまでです。
実施期間
LINE Bug Bounty Programは、以下の期間実施されます。
2015年 8月 24日(GMT+9) 午後12時 ~ 9月 23日(GMT+9) 午後12時
報奨金
LINEの脆弱性を発見し、ご報告いただいた方には、下表のとおり報奨金をお支払いいたします。
| 脆弱性名 | 説明 | 最低金額 |
|---|---|---|
| message / call eavesdropping | 他人のメッセージ、通話を盗聴、解読、改変、及び終了可能 | USD 10,000 |
| SQL Injection | SQLインジェクションにより、個人情報閲覧が可能 | USD 3,000 |
| Cross-Site Scripting(XSS) | XSSにより、sessionhijackやスクリプト実行が可能 | USD 500 |
| Cross-Site Request Forgery(CSRF) | CSRFにより、LINE利用者が意図しない処理をさせることが可能 | USD 500 |
| Client-Side Remote Code Execution | 細工された任意のメッセージをLINEへ送信し、受信端末で任意コードを実行させることが可能 | USD 20,000 |
| Server-Side Remote Code Execution | 細工された任意のパケットをサーバ側へ送信し、サーバ側で任意のコードを実行させることが可能 | USD 10,000 |
| authentication bypass | 認証をバイパスし、成りすましが可能 | USD 5,000 |
| purchase bypass | 課金をバイパスし、アイテムを購入可能 | USD 5,000 |
| Other | その他 | USD 500 |
ご報告いただいた脆弱性については、LINEが定める内部の審査基準により報酬対象であるかどうかを判断させていただきます。脆弱性について詳しくご報告いただくほど、または発見した脆弱性が想定より深刻なものであるほど、最低額より多くの報奨金を獲得することができます。審査に合格すると報奨金をお支払い、後にHall of fameページに報告者のお名前と脆弱性の名称を乗せる予定です。参加条件や審査内容などプログラムに関する詳細については、LINE Bug Bountyページをご参照ください。
期待成果
LINEは世界中のホワイトハッカーの皆様のたくさんのご参加をお待ちしております。脆弱性をご報告いただくことで、LINEはより安全なサービスを提供できるようになると期待しています。Bug Bountyプログラムによってより安心できるインターネット環境が実現することを願い、LINEは皆様からのご報告を楽しみにしております。
LINE Bug Bounty Programの詳細