Tag Archives: Security

LINE Bug Bountyの結果と総括

はじめに

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。以前こちらの記事で、LINE初の試みである「LINE Bug Bounty Program」について紹介いたしましたが、今回、改めて内容を振り返りながら、その結果について書かせていただこうと思います。

LINE Bug Bountyは、8月24日から9月23日までの約1ヶ月間で行われ、その期間に発見した脆弱性を報告してくださった方には、最高で1件20,000米ドル(約240万円)をお支払いするというプログラムです。このような制度は国内ではまだ実施例が少なく、あまり馴染みがないかもしれません。しかし、LINEではユーザーの皆様により安全なサービスを提供したいと考えており、そのための取り組み、制度のひとつとして、今回のBug Bounty Programを実施しました。

本プログラムは我々にとっても初めての試みでありまったくの未知数だったのですが、結果的に194件の報告を受け、XSS、CSRFなど計14件をクリティカルな脆弱性として対応させていただきました。また報告件数の半分以上は日本国外からのものであり、海外のユーザーからの関心も大きかったことは大きな驚きでした。

では、結果の詳細について実際に見ていきましょう。

LINEの暗号化について

LINEセキュリティチームです。今回はLINEで利用されている暗号化技術について紹介します。

LINE 3G通信での暗号化有無の確認

LINEについて一般的に誤解されている情報の中には、暗号化方式が弱いため外部に情報が流出する可能性が存在するという点と、wi-fi通信の中ではデータが暗号化されているがモバイルネットワーク(3G、LTE)を使用する場合は暗号化されていない、という点があります。
まず、暗号化が実際に実行されているかどうかについては、これを言葉で説明するのは意味がないので、現在アプリケーションが安全な状態であることを直接目で確認するほうが確実です。

暗号化の有無を確認するにあたって最も一般的に使用されるのは、特定の端末から送信されるネットワークデータをキャプチャーしてこれを観察する方法です。モバイルの場合、インターネット接続時にネットワークデータをキャプチャーするためのPCをVPNのようなサービスを利用して経由させ、データを観察します。Androidの場合は、Shark for root のようなアプリを使用すればパケットをキャプチャーできます。

実際にメッセージを送ってテストをしてみると、暗号化の有無がよくわかります。まず、LTEでスマートフォンからテストメッセージを送信してみましょう。