Blog - LINE ENGINEERING

TAG ARCHIVES: Security Engineering

FIDO at LINE: LINE FIDO2-Serverをオープンソースとして公開しました
kyungjoon-park2021-09-30
Security R&Dチームのセキュリティエンジニアです
こんにちは。Security R&DチームでFIDO（Fast Identity Online）の開発担当エンジニアとして働いている、Park Kyungjoonです。以前の記事「FIDO at LINE: A First Step to a World Without Passwords」に続き、今回の記事ではFIDO2について簡単に解説した後、今年の3月上旬に参加したFIDOアライアンス主催の相互運用性テストイベントについて報告します。それから、先日オープンソースとして公開したLINE FIDO2-Serverについて紹介したいと思います。 FIDO2について現在FIDOには、UAF（Universal Authentication Framework）とU2F（Universal 2nd Factor）、FIDO2という3つの規格が共存していますが、最近では新しい規格であるFIDO2が定着してきているようです。FIDO2が他の規格と異なる点は何でしょうか？　どのような理由で登場したのでしょうか？　3つの規格について簡単に解説します。&n
- Security Engineering
- Open Source
Android脆弱性検査の自動化に向けたJandroid導入レポート
LINE Engineering2020-06-04
こんにちは。LINEでセキュリティを担当しているPark Sunjooです。LINEのセキュリティチームでは、リリース予定のサービスやアプリケーションのセキュリティリスクを事前に発見することで、プロダクトの安全性向上に努めています。サービスやアプリケーションのセキュリティ検査を行う際、過去にセキュリティ問題を引き起こしたコードと類似したパターンを使用していたり、セキュリティリスクの高いコーディングパターンを再利用することによる脆弱性を発見することが度々あります。このように頻発するセキュリティ上の問題を迅速かつ容易に検出するために、一般的なソリューションを使用したり、独自のツールを開発したりしています。本記事では、Androidアプリで利用可能な自動脆弱性検査ツール「Jandroid」をLINEのAndroidアプリに取り入れ、セキュリティ上の問題を発見した事例を紹介します。 Jandroidとは？ Jandroidは、F-Secure Labsが開発した脆弱性検査ツールです。Androguardというオープンソースをベースにして開発されました。Androguardは、And
ORK(オーク）－コード難読化コンパイラツール vol.2
LINE Engineering2020-04-15
こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。前回の記事では、サンプルソースコードのコンパイル過程を見ながら、難読化が行われる段階を確認しました。今回の記事では、ORKの難読化がどのように動作するか、またサンプル実行ファイルで見てみましょう。実行ファイルの改ざん方法まず、サンプルの実行ファイルをリバーシング（reversing）して、実現した内容と逆に動作するように改ざんしてみます。リバーシングを実行する最も速い方法は、出力に使用されるシンボル（symbol）の情報を見つけることです。ディスアセンブラー（disassembler）を使用すると、実行ファイルの実現内容を確認できます。このようにして確認すると、結果の出力に使用した文字列の参照位置を簡単に把握できます。把握した後は、その近くで当該文字列の出力を区別する分岐文の位置さえ見つければ済みます。以下の例では、灰色で選択された行のjnzアセンブリ言語コマンドで出力が分岐されることがすぐに分かります。そうしたら、当該分岐を実行するコー
- Security Engineering
- C/C++
ORK(オーク）－コード難読化コンパイラツール vol.1
LINE Engineering2020-04-15
こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。以前、「iOSのコード署名について」という記事では、SIM MINYOUNGさんがiOSアプリの完全性や署名者を検証できるiOSのコード署名について説明しました。今回の記事では、アプリの改ざんや盗用を防ぐために独自で開発している難読化ツールを紹介したいと思います。サンプルソースコードを利用してコンパイラ動作の各段階を確認し、難読化がどのように行われるかを見てみます。 ORK（オーク）とは？実行ファイル保護技術であるパッカーの限界 LLVMコンパイラインフラ LLVMコンパイラインフラベースの難読化ツール、ORK Clangのコンパイル過程前処理（preprocessor）構文解析（parsing） LLVM IR(Intermediate Representation) 最適化（optimizer）コンパイラバックエンド（compiler backend）アセンブラ（assembler）リンカー（linker）おわりに
- Security Engineering
- C/C++
Another One Bites the Apple!
junho jang2019-07-26
LINEでセキュリティ評価を担当しています
こんにちは。LINEでセキュリティを担当しているチャン・ジュノです。私は、LINEが提供するサービスをハッキングし、そのセキュリティを強化する仕事を担当しています。また、趣味として他社の製品の脆弱性を見つけて報告することで、より安全な世界を実現することに貢献しています。このようにセキュリティの脆弱性を探すことを、ハッカーの間ではバグハンティング（bug hunting）と言います。ハッカーは、バグバウンティ（bug bounty）で賞金を獲得します。賞金がなくても、ハッカーとして名声を得るために、あるいは純粋に面白くてハッキングします。この記事では、多くのハッカーがターゲットにするApple製品で、バグハンティングを行った過程を紹介します。バグハンティングのターゲット選定 Appleは、MacBook、iMac、Mac Pro、iPhone、iPad、Apple Watchなど、さまざまな製品を販売しています。これらの製品は、パソコンとモバイルデバイスに分けられます。パソコンではOS（Operating System）としてmacOSを使い、モバイルデバイスではiOS
- Security Engineering
ゲームセキュリティ運営から見たチート対策としてのモニタリングについて
MJ2019-06-26
LINEでセキュリティに関する業務を担当しています。
はじめにこんにちは。LINEのgame securityチームでLINE GAMEのセキュリティ運営を担当している李明宰です。 LINE GAMEが誕生してから6年以上(https://6thanniversary.game.line.me/)経ちますが、今回はその6年間を通して、セキュリティ運営から見たゲームのチート対策とそのモニタリングについて、皆さんにご紹介したいと思います。チートとは、悪意のあるユーザー（以下、アビューザー）により、ゲームを有利に攻略する目的でアプリが改ざんされる行為全般を指します。近年、スマートフォン環境向けのゲームアプリが人気を集めており、LINEがリリースしているゲームもほとんどが、iOS/Android向けのゲームアプリであるため、今回のブログでご紹介する話は、スマートフォン向けのゲームアプリの話とご理解いただければ幸いです。 LINEでは、LINE GAMEのユーザーの皆さんが安心できるように、ゲームアプリのリリース後、様々な取り組みを通じて、ゲーム内に存在するアビューザーの分析や対応を行っております。特にチート対策の考え方として、アプリ側での
- Security Engineering
- LINE Games
FIDO at LINE: パスワードのいらない世界に向けて
Kieun Shin2019-01-21
I am working at LINE as a security software engineer and in charge of advanced authentication technologies including FIDO project. Since 2015, I've been a member of FIDO Alliance and contributing to the FIDO specifications and W3C WebAuthn standards.
パスワードのいらない世界本日、LINEの認証サーバであるLINE Authentication Serverが、サービス提供会社として世界初のFIDO Universal Server1認証を取得できたことを報告できた事を嬉しく思っています。 LINEは近い将来、FIDO認証を通じてログイン、認証などを生体情報(顔、指紋など)やYubikey、Google Titan keyのような外部認証装置を通じて容易に手早く行うことができるように、研究開発を進めています。FIDOの導入によって認証手段を限定することなく、パスワードやPINなどの認証情報をサービスと共有する認証方式の代わりに公開鍵暗号化方式を活用して、非常に強力な認証をサービスを利用する皆様に提供することができます。 LINEの活動経緯 LINEメッセンジャーのリリース後、LINEの普及とともに、サービス利用者の皆さまが直面する危険も増加しており、実際に様々な形のセキュリティの攻撃が試みられました。侵入者は、ソーシャルエンジニアリングや、ネットワーク機器のセキュリティを迂回してサービス利用者への攻撃を試みています。L
Best practices to secure your SSL/TLS Implementation
Lee Jihoon2018-08-14
セキュリティエンジニアです。サービスインフラに対する保護を主に担当しています。
この記事は、 LINE Engineering Blog 「夏休みの自由研究 -Summer Homework-」の 11日目の記事です。こんにちは、LINE Infra Protection チームのSecurity Engineeringを担当しているLee Jihoon(李志勲)です。 Infra Protectionチームは、業務環境とサービス環境で使用されるインフラを、より安全に作る業務を担当しています。そのような活動の一つとして、SSL/TLS証明書に対する管理や関連ガイドを提供する活動も行っています。大規模な環境ではセキュリティはもちろん、クライアントに対する互換性とサービス環境についても考慮が必要ですが、それらに関連する経験の一部を共有します。はじめにまず、TLS(Transport Layer Security、以前のSSL。一般的な表記に従い以下 SSL/TLS と表記します）とは何か、簡単に解説することからスタートします。ブラウザのようなクライアントとウェブサーバが、公開されたインターネット網を利用してコミュニケーションする際に、望む相手と安全につながる
- Security Engineering
LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート前編
Naohisa Ichihara2017-07-20
LINE Engineer
こんにちは、LINE セキュリティ室の市原です。普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。こちらのエントリはイベントレポートの前編です。後編はこちら。公式HP: https://www.intertrust.com/company/events/line/ 日時: 2017年5月17日(水) 10:00〜18:00 場所: 新宿ミライナタワー　LINE社オフィス内オーディトリウム参加人数: 約140名 1. はじめに今回のカンファレンスでは、「エンドポイントセキュリティ (end point security)」にフォーカスを当てています。ここでいうエンドポイントセキュリティとは、PCやモバイル、IoTデバイスといった末端デバイスやその上で動作するアプリケーシ
- Security Engineering
LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート後編
Naohisa Ichihara2017-07-20
LINE Engineer
こんにちは、LINE セキュリティ室の市原です。普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。こちらのエントリはイベントレポートの後編です。前編はこちら。公式HP: https://www.intertrust.com/company/events/line/ 日時: 2017年5月17日(水) 10:00〜18:00 場所: 新宿ミライナタワー　LINE社オフィス内オーディトリウム参加人数: 約140名 Session 1: Technology Trends in End Point security “ゲーム開発を加速させるためのクライアントセキュリティ” 汐田徹也 (株式会社ディー・エヌ・エー) ゲームを主要事業とする日本を代表する
- Security Engineering

1 2