Tag Archives: Security

CEDEC 2017 登壇レポート 「LINEゲームのセキュリティ診断手法」

2017年8月30日(水)〜9月1日(金)にパシフィコ横浜で開催された コンピュータエンターテインメントデベロッパーズカンファレンス2017(CEDEC 2017) にて、LINEはPRプログラムスポンサーとして協賛いたしました。8月31日には、セキュリティ室に所属するエンジニアである愛甲健二が、「LINEゲームのセキュリティ診断手法」と題して登壇しました。

LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート前編

こんにちは、LINE セキュリティ室の市原です。
普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。
こちらのエントリはイベントレポートの前編です。後編はこちら

LINE and Intertrust Security Summit 2017 Spring, Tokyo レポート後編

こんにちは、LINE セキュリティ室の市原です。
普段は、LINEの提供するサービスのセキュリティコンサル、アカウント乗っ取り/Abusing対策、認証技術の調査・研究、標準化活動、などを行っています。今日は、5月17日にLINEとIntertrust社が主催で開催した「LINE and Intertrust Security Summit 2017 Spring, Tokyo」について報告したいと思います。
こちらのエントリはイベントレポートの後編です。前編はこちら

LINE Engineer Insights vol.5「セキュリティ室シニアエンジニアに聞く、LINEのスパム対策と今後の展望」

LINE で働くエンジニアに色々と話を聞いていく「LINE Engineer Insights」の第5弾です。当コーナーはインタビュアーに LINE で働くエンジニア @tokuhirom を迎え、エンジニア同士でざっくばらんにお話を伺っていくというものです。今回も、LINE のエンジニアは一体どんな人達なのか、その内面に迫っていきたいと思います。
第5弾はセキュリティ室 アプリケーションセキュリティチーム所属の石田暁久に、LINEのスパム対策やセキュリティのツール開発などについて聞いてきました。

LINEのセキュリティチームはどんなチーム?

―― tokuhirom
宜しくお願いします。最初に、入社時期と現在メインでやってらっしゃる仕事を聞かせていただけますか?

2016年LINE Security Bug Bounty Programの結果について

常時運営化について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2016年の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、サービスに潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで、皆様により安全なサービスを提供することを目的としています。

まず、2015年に8月24日~9月23日の期間限定で試験的に実施し、そして、(1)プログラム内容の改善 (2)リスクの継続的な管理を目指して、プログラムの利用規約、報告フォーム、報告内容の判定基準、さらに常時運営を前提とした運営体制等のあらゆる側面の改善を準備し、2016年6月2日より「LINE Security Bug Bounty Program」として新たに運営をすることとなりました。

LINE Security Bug Bountyのトップページ : https://bugbounty.linecorp.com/

セキュリティエンジニアからみたUnityのこと

この記事はLINE Advent Calendar 2016の16記事目です。

こんにちは、LINEエンジニアの愛甲健二です。所属は「セキュリティ室」の「Application Security Team」というところで、主にリリース前のGames/Appsの診断を行っている、いわゆる一般的なセキュリティエンジニアです。今日はUnityに関するセキュリティ視点の入門記事を書きたいと思います。

20161222_1

LINE Bug Bountyの結果と総括

はじめに

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。以前こちらの記事で、LINE初の試みである「LINE Bug Bounty Program」について紹介いたしましたが、今回、改めて内容を振り返りながら、その結果について書かせていただこうと思います。

LINE Bug Bountyは、8月24日から9月23日までの約1ヶ月間で行われ、その期間に発見した脆弱性を報告してくださった方には、最高で1件20,000米ドル(約240万円)をお支払いするというプログラムです。このような制度は国内ではまだ実施例が少なく、あまり馴染みがないかもしれません。しかし、LINEではユーザーの皆様により安全なサービスを提供したいと考えており、そのための取り組み、制度のひとつとして、今回のBug Bounty Programを実施しました。

本プログラムは我々にとっても初めての試みでありまったくの未知数だったのですが、結果的に194件の報告を受け、XSS、CSRFなど計14件をクリティカルな脆弱性として対応させていただきました。また報告件数の半分以上は日本国外からのものであり、海外のユーザーからの関心も大きかったことは大きな驚きでした。

では、結果の詳細について実際に見ていきましょう。

LINEの暗号化について

LINEセキュリティチームです。今回はLINEで利用されている暗号化技術について紹介します。

LINE 3G通信での暗号化有無の確認

LINEについて一般的に誤解されている情報の中には、暗号化方式が弱いため外部に情報が流出する可能性が存在するという点と、wi-fi通信の中ではデータが暗号化されているがモバイルネットワーク(3G、LTE)を使用する場合は暗号化されていない、という点があります。
まず、暗号化が実際に実行されているかどうかについては、これを言葉で説明するのは意味がないので、現在アプリケーションが安全な状態であることを直接目で確認するほうが確実です。

暗号化の有無を確認するにあたって最も一般的に使用されるのは、特定の端末から送信されるネットワークデータをキャプチャーしてこれを観察する方法です。モバイルの場合、インターネット接続時にネットワークデータをキャプチャーするためのPCをVPNのようなサービスを利用して経由させ、データを観察します。Androidの場合は、Shark for root のようなアプリを使用すればパケットをキャプチャーできます。

実際にメッセージを送ってテストをしてみると、暗号化の有無がよくわかります。まず、LTEでスマートフォンからテストメッセージを送信してみましょう。