こんにちは。LINEでセキュリティに関する業務を担当しているMJです。
今回の記事では、2017年(1月1日〜12月31日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。
プログラム対象拡大や寄付制度について
前回の記事でも紹介しましたが、2017年は、プログラムの対象を拡大し、より多くの報告を受付けることが出来ました。(受付状況をご覧ください。)また、2017年の11月には報奨金の寄付オプションを開始し、報奨金支払いの対象者が寄付を行うことも可能になりました。
プログラムの拡大や報奨金の寄付オプションについては、以下のURLを参考にしてください。
- プログラムの拡大:https://linecorp.com/ja/pr/news/ja/2017/1712
- 報奨金の寄付オプション:https://linecorp.com/ja/csr/news/ja/2017/123

- 脆弱性報告フォーム : https://bugbounty.linecorp.com/apply/
- プログラムの利用規約: https://bugbounty.linecorp.com/ja/terms_of_use/
- プログラムのFAQ : https://bugbounty.linecorp.com/ja/faq/
受付状況
脆弱性報告フォームからの受付状況は以下のとおりです。
日付/脆弱性別の受付状況
2017年(1月1日〜12月31日)では、212件の報告を受付いたしました。以下の【図1】は、日別(週別)の受付件数、受付脆弱性名の割合をグラフで表現したものです。
- 対象拡大(4月10日)前の受付件数:40件(1月1日~4月9日)
- 対象拡大(4月10日)後の受付件数:172件(4月10日~12月31日)
- 上半期の受付件数:96件(1月1日~6月30日)
- 下半期の受付件数:116件(7月1日~12月31日)


国別アクセス
今回受け付けた212件のうち、日本国内からは11件、海外からは201件の報告がありました。以下【図2】は常時運営期間にWEBサイトへアクセスされた国別の割合ですが、2016年と同様に日本のみならず海外からも高い関心があったことがわかりました。

審査結果について
審査結果
今回のプログラムでは、XSS、CSRFなど合計45件が脆弱性として認定されました。
審査結果については、Hall of fameページから確認することができます。
Hall of fameの更新状況はこちらのページでアナウンスを行っています。

2017年で発生した報奨金の総額は、76,500 USDでした。以下【図3】は、報奨金の国別の割合です。

審査の結果、利用規約上プログラムの対象ではなかったため、正式には認定できないものがあり、その中でもLINEにとって有益な情報であった報告については、特別な取り扱いとしてSpecial Contributorsという枠を設け、2017年では、21人の方を認定させていただきました。2016年(8人)を多く上回りました。
現在までの統計や報奨金の支払いの流れについて
現在までの統計
2015年 (プログラム初実施) |
2016年 (常時運営開始) |
2017年 (プログラム対象拡大) |
|||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
実施期間 | 8/24~9/23 | 6/2~12/31 | 1/1~12/31 | ||||||||||||||||||||||||
受付件数 |
194件 (日本国内:89+海外:105) |
97件 (日本国内:15+海外:82) |
212件 (日本国内:11+海外:201) |
||||||||||||||||||||||||
報奨金対象の脆弱性件数 | 14 | 13 | 45 | ||||||||||||||||||||||||
hall of fame | 8人 | 3人 | 11人 | ||||||||||||||||||||||||
special contributors | 9人 | 8人 | 21人 | ||||||||||||||||||||||||
発生した報奨金 | USD 44,000 | USD 27,000 | USD 76,500 |
報奨金支払いの流れ
LINE Security Bug Bounty Programに報告された脆弱性が認定された場合、報奨金を支払います。報奨金の支払いの流れは以下のとおりです。
- 報告者が脆弱性を報告する
- LINEの担当者が報告内容の審査を行う
- 報告された脆弱性が認定された場合は、報奨金について案内を行う
- 報告者が支払いに同意をする
- 報告者が支払に必要な情報を提出する
- LINEの担当者が書類の確認を行う
- LINEが報奨金を支払う
詳細は、https://bugbounty.linecorp.com/ja/faq/ のQ12を参照してください。
なお、2017年では、報奨金案内から報奨金の支払いまでに掛かった平均時間は、52日となりました。
おわりに
2017年も皆様の高い関心と多くの有益な報告のおかげで、LINE Security Bug Bounty Programを通じてLINEは多くの改善を達成することができました。報告いただいた脆弱性は修正されており、ユーザーの皆様はLINEサービスをより安全に利用することができます。また、冒頭でも説明したとおり上半期ではLINEサービスの成長に伴いプログラムの対象の拡大、下半期では、報奨金の寄付オプションの開始を行いました。
これからもLINE Security Bug Bounty ProgramがLINEのセキュリティリスクを減らす取り組みの一環のプログラムとして、さらに良質なものへと拡張・発展できるように努力していきたいと思います。
LINE Security Bug Bounty Programサイトでは、常時脆弱性報告を受け付けています。今後も皆様からの意欲ある参加をお待ちしております。
過去の記事についてはこちらを参照してください。