Security

【インターンレポート】LINEサービスのリスクアセスメントとサプライチェーン攻撃の対応検討

みなさん、こんにちは。早稲田大学大学院修士1年の河岡諒です。日頃は情報セキュリティ分野で主にドメイン名の登録実態調査やドローンに関するセキュリティの研究をしています。

今回は、(10月ですが..)夏季インターンシップとして、LINEのプロダクトセキュリティ室のアプリケーションセキュリティチームに所属して1ヶ月ほど就業させていただきました。このブログでは、1ヶ月の間自分が経験したことや感じたことを紹介できればと思います。

FIDO at LINE: LINE FIDO2-Serverをオープンソースとして公開しました

こんにちは。Security R&DチームでFIDO(Fast Identity Online)の開発担当エンジニアとして働いている、Park Kyungjoonです。以前の記事「FIDO at LINE: A First Step to a World Without Passwords」に続き、今回の記事ではFIDO2について簡単に解説した後、今年の3月上旬に参加したFIDO2アライアンス主催の相互運用性テストイベントについて報告します。それから、先日オープンソースとして公開したLINE FIDO2-Serverについて紹介したいと思います。 

LINEを騙るPhishing詐欺対策と戦いの歴史

こんにちは、LINEのセキュリティエンジニアの中村智史です。Trust & Safetyチームに所属して、Phishing詐欺の情報収集/探索/分析/停止、サイバー防災というユーザー向け啓発活動、などLINEのユーザーを詐欺や不正行為から守るために様々な業務を担当しています。LINEのユーザーを標的としたPhishing詐欺は、私が着任した2017年3月の時点で毎日偽サイトが稼働している状況でしたが、本記事で紹介する様々な取り組みを続けていき、2020年10月には偽サイトの稼働件数を鈍化させるに至りました。

ランダムフォレストを用いたabuser分析とハイパーパラメータのチューニング

こんにちは, 今年の4月からLINEのゲームセキュリティチームに新卒として入社しました草間好輝です.

ゲームセキュリティチームは. 主にゲーム内で発生する不正行為の対策を目的としたチームです. 例えばゲームチート解析(バイナリ/パケット解析)やクライアントセキュリティモジュールの提供(例:ORK(https://engineering.linecorp.com/ja/blog/ork-vol-1/)), ゲームサーバでの疑わしい動作の分析, リリース前のゲームのセキュリティ診断などです.

本記事では, 同じゲームセキュリティチームのメンバーであるWah Dekaiと共にLINE GAMEのチート分析の一貫で行っているランダムフォレストを用いたabuser検知について解説したいと思います. 
[関連記事:https://engineering.linecorp.com/ja/blog/monitoring-to-prevent]

【インターンレポート】社内で開発されているソフトウェアのセキュリティ診断を行いました

技術職 就業型コースのインターンシップに参加した仲西朋也です。今回、LINEのサービス全般のセキュリティ強化を担う、アプリケーションセキュリティチームに所属し、実際の業務内容を体験することができました。このレポートでは、インターン期間中に取り組んだ内容について紹介します。

【Team & Project】LINEのSecurity consultation and risk assessmentに関わる業務を担当しているチームを紹介します

LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。
今回は、LINE全体のサービスの企画段階におけるセキュリティ観点の検討、セキュリティコンサル、セキュリティリスクアセスメントの業務を担当しているApplication Securityチームを紹介します。

Application SecurityチームのLunde Robin、Oh Sehunに話を聞きました。

【Team & Project】LINEのInfrastructure Securityに関わる業務を担当しているチームを紹介します

LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。今回は、LINEのInfrastructure Securityに関わる業務を担当しているInfra Protectionチームを紹介します。
Infra ProtectionチームのLee Jihoon、Jun Seungnam、Choi Wontae、Vestin Simonに話を聞きました。

Infra Protectionチームのzoom会議の様子

Android脆弱性検査の自動化に向けたJandroid導入レポート

こんにちは。LINEでセキュリティを担当しているPark Sunjooです。
LINEのセキュリティチームでは、リリース予定のサービスやアプリケーションのセキュリティリスクを事前に発見することで、プロダクトの安全性向上に努めています。サービスやアプリケーションのセキュリティ検査を行う際、過去にセキュリティ問題を引き起こしたコードと類似したパターンを使用していたり、セキュリティリスクの高いコーディングパターンを再利用することによる脆弱性を発見することが度々あります。このように頻発するセキュリティ上の問題を迅速かつ容易に検出するために、一般的なソリューションを使用したり、独自のツールを開発したりしています。本記事では、Androidアプリで利用可能な自動脆弱性検査ツール「Jandroid」をLINEのAndroidアプリに取り入れ、セキュリティ上の問題を発見した事例を紹介します。

ORK(オーク)-コード難読化コンパイラツール vol.2

こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。前回の記事(発行後リンクを追加)では、サンプルソースコードのコンパイル過程を見ながら、難読化が行われる段階を確認しました。今回の記事では、ORKの難読化がどのように動作するか、またサンプル実行ファイルで見てみましょう。