LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog

Blog


2018年上半期LINE Security Bug Bounty Programの結果について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2018年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。

このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。

受付状況

脆弱性報告フォームからの受付状況は以下のとおりです。

日付/脆弱性別の受付状況

2018年の上半期(1月1日から6月30日まで)では、148件の報告を受付いたしました。以下の【図1】は、日別(週別)の受付件数、受付脆弱性名の割合をグラフで表現したものです。

2017年の上半期(96件)と比べると受付件数は、およそ64%が増加しました。

【図1】 日別(週別)受付件数、受付した脆弱性名の割合

国別アクセス

今回受け付けた148件のうち、日本国内からは35件、海外からは113件の報告がありました。以下【図2】は2018年の上半期にWEBサイトへアクセスされた国別の割合ですが、日本のみならず海外からも高い関心があったことがわかりました。

【図2】 国別アクセス割合

審査結果

今回のプログラムでは、XSS、CSRFなど合計33件が脆弱性として認定されました。

審査結果については、Hall of fameページから確認することができます。

Hall of fameの更新状況はこちらでアナウンスを行っています。

2018年の上半期で発生した報奨金の総額は、48,000 USDでした。以下【図3】は、報奨金の国別の割合です。

【図3】 報奨金の割合

審査の結果、利用規約上プログラムの対象ではなかったため、正式には認定できないものがあり、その中でもLINEにとって有益な情報であった報告については、特別な取り扱いとしてSpecial Contributorsという枠を設け、2018年の上半期には、11人の方を認定させていただきました。

現在までの統計や報奨金の支払いの流れについて

現在までの統計

2015年
(プログラム初実施)
2016年
(常時運営開始)
2017年
(プログラム対象拡大)
2018年
(報奨金テーブルの更新)
実施期間 8/24~9/23 6/2~12/31 1/1~12/31 1/1~6/30
受付件数 194件
(日本国内:89+海外:105)
97件
(日本国内:15+海外:82)
212件
(日本国内:11+海外:201)
148件
(日本国内:35+海外:113)
報奨金対象の脆弱性件数 14 13 45 33
hall of fame 8人 3人 11人 9人
special contributors 9人 8人 21人 11人
発生した報奨金 USD 44,000 USD 27,000 USD 76,500 USD 48,000

報奨金支払いの流れ

LINE Security Bug Bounty Programに報告された脆弱性が認定された場合、報奨金を支払います。報奨金の支払いの流れは以下のとおりです。

  1. 報告者が脆弱性を報告する
  2. LINEの担当者が報告内容の審査を行う
  3. 報告された脆弱性が認定された場合は、報奨金について案内を行う
  4. 報告者が支払いに同意をする
  5. 報告者が支払に必要な情報を提出する
  6. LINEの担当者が書類の確認を行う
  7. LINEが報奨金を支払う

詳細は、こちらのQ12を参照してください。

なお、2018年上半期では、受付から報奨金案内に掛かった(No.1~No.3)平均時間は、約10日、報奨金案内から報奨金の支払いまでに掛かった(No.3~No.7)平均時間は、約41日となりました。

(2017年では、報奨金案内から報奨金の支払いまでに掛かった(No.3~No.7)平均時間は、約52日でした。)

報奨金の参考金額テーブルの更新について

「LINE Security Bug Bounty Program」として常時運営を開始(2016年6月2日)して以降、プログラムの改善の一環として、報奨金額の目安となった脆弱性ごとの報奨金の参考金額テーブルを更新しました。(2018年3月19日

報奨金は、当社の裁量により、報告された脆弱性の深刻性、新規性等に基づき決定しますが、既存の報奨金の参考金額テーブルにはなかった以下の項目を追加しました。(報奨金額の目安についてトップページや利用規約のページに記載しております。)

  • Improper Certificate Validation
  • Server-Side Request Forgery (SSRF)
  • Client-Side Enforcement of Server-Side Security
  • Improper Access Control
  • Password in Configuration File
  • Insecure Direct Object Reference (IDOR)
  • Information Exposure Through Debug Information
  • Privilege Escalation
  • Cleartext Transmission of Sensitive Information
  • Path Traversal
報奨金の参考金額のテーブル
脆弱性名 説明 参考金額
SQL Injection SQLインジェクションにより、個人情報閲覧が可能 USD 3,000
Cross-Site Scripting (XSS) XSSにより、sessionhijackやスクリプト実行が可能 USD 500~
Cross-Site Request Forgery (CSRF) CSRFにより、ユーザが意図しない処理をさせることが可能 USD 500
Remote Code Execution クライアントあるいはサーバ側で任意コードを実行させることが可能 USD 10,000
authentication bypass 認証をバイパスし、成りすましが可能 USD 5,000
purchase bypass 課金をバイパスし、アイテムを購入可能 USD 5,000
encryption break 暗号化された通信の解読により他人の認証情報が取得可能 USD 10,000
Improper Certificate Validation 証明書の検証不備により、SSL通信が盗聴可能 USD 10,000
Server-Side Request Forgery (SSRF) WEBサーバーを中継して、本来外部からは到達できない別のサーバーやネットワークに攻撃が可能 USD 2,500
Client-Side Enforcement of Server-Side Security クライアントサイドのみ妥当性チェックを行っているため、回避可能 USD 500
Improper Access Control アクセス制限の不備により、本来非公開ページが閲覧可能 USD 500~
Password in Configuration File 設定ファイルにパスワードなど重要な情報が閲覧可能 USD 500
Insecure Direct Object Reference (IDOR) セキュア実装不備により、オブジェクトの直接参照が可能 USD 5,000
Information Exposure Through Debug Information デバッグ情報の漏洩により、重要な情報が閲覧可能 USD 500
Privilege Escalation 一般ユーザーが、管理者などのより上位の権限を持つことが可能 USD 3,000
Cleartext Transmission of Sensitive Information 重要な情報を平文で送信して盗聴可能 USD 500~
Path Traversal Webアプリケーションのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセス可能 USD 500~
Other その他 USD 500

おわりに

皆様の高い関心と多くの有益な報告のおかげで、2018年の上半期(1月~6月)は、前年と比べて、支払いが発生した脆弱性の件数と報奨金の合計も増加しました。

以下【図4】は、月別の支払いが発生した脆弱性の件数の変化と報奨金の状況を示したものです。

LINE Security Bug Bounty Programを通じてLINEは多くの脆弱性を発見し、修正することでユーザにより安全なサービスを提供することに貢献していると信じています。

【図4】 月別の支払いが発生した脆弱性の件数と報奨金

また、冒頭でも説明したとおり上半期ではプログラムの改善の一環として、報奨金額の目安となった脆弱性ごとの報奨金の参考金額のテーブルも更新しました。

LINE Security Bug Bounty ProgramがLINEのセキュリティリスクを減らす取り組みの一環のプログラムとして、さらに良質なものへと拡張・発展できるように努力していきたいと思います。

LINE Security Bug Bounty Programサイトでは、常時脆弱性報告を受け付けています。今後も皆様からの意欲ある参加をお待ちしております。

過去の記事についてはこちらを参照してください。

上半期では、[LINE x SECCON 2017] LINE Security Bug Bounty Program キャンペーン

「Bug Bounty」をテーマとしたSecurity Meetupを開催しました。そのブログもあわせて、読んでいただければと思います。

Google Play Security Reward Programについて

「Google Play Security Reward Program」は、Google Play上の特定の有名なAndroidアプリを対象にしてGoogle Playが提案したbonus bountyプログラムです。

たとえば、LINE Security Bug Bountyプログラムに参加し、報奨金をもらった参加者がいて、Google Play Security Reward Programが定める対象内であれば報奨金をもらったことを証明することで、Googleからも同じ金額のbonus bountyがもらえます。

LINEは、このようなプログラムにも参加していますので、この記事で簡単に紹介しました。

security.txtの設置について

security.txtは、脆弱性を発見した際に適切な報告先をガイドするためのIETFに提出された仕様です。

A Method for Web Security Policies draft-foudil-securitytxt-04

ドラフトではありますが、報告者の方へのガイドのための一つのチャンネルとして設置しました。

次のドメインにsecurity.txtを設置しましたので、この記事で簡単に紹介しました。