プログラム対象拡大について
こんにちは。LINEでセキュリティに関する業務を担当しているMJです。
今回の記事では、2017年上半期(1月1日~6月30日)の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、LINEが提供するサービスにおいて潜在的に存在する脆弱性を外部のセキュリティリサーチャーからご報告を頂き、我々が迅速に修正していくことで皆様により安全なサービスを提供することを目的としています。
また「LINE Security Bug Bounty Program」として常時運営を開始(2016年6月2日)して以降、LINEサービスの成長に伴い4月10日よりプログラムの対象を拡大しました。(新たにコミュニケーションアプリ「LINE」のChrome版・Windows 10 Mobile版と、LINE STORE・LINE NEWS・LINE MUSIC・LINE LIVEの各Webサイトを追加いたしました)
プログラムの利用規約:https://bugbounty.linecorp.com/ja/terms_of_use/
プログラムのFAQ :https://bugbounty.linecorp.com/ja/faq/
受付状況
脆弱性報告フォームからの受付状況は以下のとおりです。
日付/脆弱性別の受付状況
上半期(2017年1月1日から6月30日まで)では、96件の報告を受付いたしました。以下の【図1】は、日別(週別)の受付件数、受付脆弱性名の割合をグラフで表現したものです。
- 対象拡大(4月10日)前の受付件数:40件(1月1日~4月9日)
- 対象拡大(4月10日)後の受付件数:56件(4月10日~6月30日)
国別アクセス
今回受け付けた96件のうち、日本国内からは7件、海外からは89件の報告がありました。以下【図2】は常時運営期間にWEBサイトへアクセスされた国別の割合ですが、日本のみならず海外からも高い関心があったことがわかりました。
審査や審査結果について
審査について
受付した内容は、1次審査、2次審査に分けて行われました。審査については、前回の記事でも紹介しましたが、1次審査、2次審査を通ったものが脆弱性として認定され、報奨金の対象になります。認定されると、Hall of fameに報告者の名前、認定された脆弱性のカテゴリなどが公開されます。
審査ステータスは以下のとおりです。
1st ACCEPT:脆弱性報告の提出資料として審査可能と判断した状態です
1st REJECT:脆弱性報告の提出資料として審査不能と判断した状態です
2nd ACCEPT:資料の内容を精査して脆弱性として認定された状態です
2nd REJECT:資料の内容を精査して脆弱性として認定されなかった状態です
COMPLETE:報奨金の支払いまで完了した状態です
審査結果
今回のプログラムでは、XSS、CSRFなど合計20件が脆弱性として認定されました。
審査結果については、Hall of fameページから確認することができます。
Hall of fameの更新状況はこちらのページでアナウンスを行っています。
2017年の上半期で発生した報奨金の総額は、29,000 USDでした。以下【図4】は、報奨金の国別の割合です。
審査の結果、利用規約上プログラムの対象ではなかったため、正式には認定できないものがあり、その中でもLINEにとって有益な情報であった報告については、特別な取り扱いとしてSpecial Contributorsという枠を設け、2017年の上半期には、11人の方を認定させていただきました。
現在までの統計や報奨金の支払いの流れについて
現在までの統計
2015年(プログラム初実施) | 2016年(常時運営開始) | 2017年(プログラム対象拡大) | |||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
実施期間 | 8/24~9/23 | 6/2~12/31 | 1/1~6/30 | ||||||||||||||||||||||||
受付件数 | 194件(日本国内:89+海外:105) | 97件(日本国内:15+海外:82) | 96件(日本国内:7+海外:89) | ||||||||||||||||||||||||
報奨金対象の脆弱性件数 | 14 | 13 | 20 | ||||||||||||||||||||||||
hall of fame | 8人 | 3人 | 3人 | ||||||||||||||||||||||||
special contributors | 9人 | 8人 | 11人 | ||||||||||||||||||||||||
発生した報奨金 | USD 44,000 | USD 27,000 | USD 29,000 |
報奨金支払いの流れ
LINE Security Bug Bountyプログラムに報告された脆弱性が認定された場合、報奨金を支払います。報奨金の支払の流れは以下のとおりです。
- 報告者が脆弱性を報告する
- LINEの担当者が報告内容の審査を行う
- 報告された脆弱性が認定された場合は、報奨金について案内を行う
- 報告者が支払いに同意をする
- 報告者が支払に必要な情報を提出する
- LINEの担当者が書類の確認を行う
- LINEが報奨金を支払する
詳細は、https://bugbounty.linecorp.com/ja/faq/のQ12を参照してください。
なお、2017年上半期では、報奨金案内から報奨金の支払いまでに掛かった平均時間は、52日となりました。
おわりに
皆様の高い関心と多くの有益な報告のおかげで、LINE Security Bug Bounty Programを通じてLINEは多くの改善を達成することができました。
報告いただいた脆弱性はすべて修正されており、ユーザーの皆様はLINEサービスをより安全に利用することができます。また、冒頭でも説明したとおり上半期ではLINEサービスの成長に伴いプログラムの対象も拡大しました。LINE Security Bug Bounty ProgramがLINEのセキュリティリスクを減らす取り組みの一環のプログラムとして、さらに良質なものへと拡張・発展できるように努力していきたいと思います。
LINE Security Bug Bounty Programサイト(https://bugbounty.linecorp.com/)では、常時脆弱性報告を受け付けています。今後も皆様からの意欲ある参加をお待ちしております。
過去の記事についてはこちらを参照してください。