Tag Archives: Security

【Team & Project】LINEのSecurity consultation and risk assessmentに関わる業務を担当しているチームを紹介します

LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。
今回は、LINE全体のサービスの企画段階におけるセキュリティ観点の検討、セキュリティコンサル、セキュリティリスクアセスメントの業務を担当しているApplication Securityチームを紹介します。

Application SecurityチームのLunde Robin、Oh Sehunに話を聞きました。

【Team & Project】LINEのInfrastructure Securityに関わる業務を担当しているチームを紹介します

LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。今回は、LINEのInfrastructure Securityに関わる業務を担当しているInfra Protectionチームを紹介します。
Infra ProtectionチームのLee Jihoon、Jun Seungnam、Choi Wontae、Vestin Simonに話を聞きました。

Infra Protectionチームのzoom会議の様子

Android脆弱性検査の自動化に向けたJandroid導入レポート

こんにちは。LINEでセキュリティを担当しているPark Sunjooです。
LINEのセキュリティチームでは、リリース予定のサービスやアプリケーションのセキュリティリスクを事前に発見することで、プロダクトの安全性向上に努めています。サービスやアプリケーションのセキュリティ検査を行う際、過去にセキュリティ問題を引き起こしたコードと類似したパターンを使用していたり、セキュリティリスクの高いコーディングパターンを再利用することによる脆弱性を発見することが度々あります。このように頻発するセキュリティ上の問題を迅速かつ容易に検出するために、一般的なソリューションを使用したり、独自のツールを開発したりしています。本記事では、Androidアプリで利用可能な自動脆弱性検査ツール「Jandroid」をLINEのAndroidアプリに取り入れ、セキュリティ上の問題を発見した事例を紹介します。

ORK(オーク)-コード難読化コンパイラツール vol.2

こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。前回の記事(発行後リンクを追加)では、サンプルソースコードのコンパイル過程を見ながら、難読化が行われる段階を確認しました。今回の記事では、ORKの難読化がどのように動作するか、またサンプル実行ファイルで見てみましょう。

ORK(オーク)-コード難読化コンパイラツール vol.1

こんにちは。LINEでクライアント保護ソリューションであるAIR ARMORの開発を担当しているCHUNG SANG MINです。以前、「iOSのコード署名について」という記事では、SIM MINYOUNGさんがiOSアプリの完全性や署名者を検証できるiOSのコード署名について説明しました。今回の記事では、アプリの改ざんや盗用を防ぐために独自で開発している難読化ツールを紹介したいと思います。サンプルソースコードを利用してコンパイラ動作の各段階を確認し、難読化がどのように行われるかを見てみます。

LINE新卒エンジニアのしごと〜6月のセキュリティエンジニア編〜

LINEには、今年33名の新卒エンジニアが入社しています。この連載では、新卒で入社したエンジニアがどのように働き始め、どのような仕事をしているのかを月に1回程度の持ち回りで紹介してもらいたいと思います。
2018年秋〜2019年春入社の2回目は、LINEのセキュリティー部門であるアプリケーションセキュリティチームに所属しているKohさんに、仕事の始め方や最初にやった仕事、普段の業務を紹介してもらいました。

Another One Bites the Apple!

こんにちは。LINEでセキュリティを担当しているチャン・ジュノです。私は、LINEが提供するサービスをハッキングし、そのセキュリティを強化する仕事を担当しています。また、趣味として他社の製品の脆弱性を見つけて報告することで、より安全な世界を実現することに貢献しています。
このようにセキュリティの脆弱性を探すことを、ハッカーの間ではバグハンティング(bug hunting)と言います。ハッカーは、バグバウンティ(bug bounty)で賞金を獲得します。賞金がなくても、ハッカーとして名声を得るために、あるいは純粋に面白くてハッキングします。

この記事では、多くのハッカーがバグハンティングのターゲットにするApple製品で、バグハンティングを行った過程を紹介します。 

ゲームセキュリティ運営から見たチート対策としてのモニタリングについて

こんにちは。LINEのgame securityチームでLINE GAMEのセキュリティ運営を担当している李明宰です。

LINE GAMEが誕生してから6年以上(https://6thanniversary.game.line.me/)経ちますが、今回はその6年間を通して、セキュリティ運営から見たゲームのチート対策とそのモニタリングについて、皆さんにご紹介したいと思います。

チートとは、悪意のあるユーザー(以下、アビューザー)により、ゲームを有利に攻略する目的でアプリが改ざんされる行為全般を指します。

LINEでは、LINE GAMEのユーザーの皆さんが安心できるように、ゲームアプリのリリース後、様々な取り組みを通じて、ゲーム内に存在するアビューザーの分析や対応を行っております。

特にチート対策の考え方として、アプリ側での対策のほか、後ほどご紹介するモニタリングを中心とした対応の観点にも着目してお読みいただければと思います。

APK Signingについて

こんにちは。LINEでAIR GOの開発を担当しているKIM SEUNGHOONです。
最近、Googleは、Android 9(Pie)で、APK Signature Scheme v3を紹介しました。
これに伴い、AIR GOも、APK Signature Schemeを検知できるようになりましたので、このブログでは、APK Signing(APK Signature Scheme)が何かとAIR GOがどのように検知するかについて紹介したいと思います。
(AIR GOについては前回の記事を読んでいただければと思います。)