Security

LINE Engineer Insights vol.5「セキュリティ室シニアエンジニアに聞く、LINEのスパム対策と今後の展望」

LINE で働くエンジニアに色々と話を聞いていく「LINE Engineer Insights」の第5弾です。当コーナーはインタビュアーに LINE で働くエンジニア @tokuhirom を迎え、エンジニア同士でざっくばらんにお話を伺っていくというものです。今回も、LINE のエンジニアは一体どんな人達なのか、その内面に迫っていきたいと思います。
第5弾はセキュリティ室 アプリケーションセキュリティチーム所属の石田暁久に、LINEのスパム対策やセキュリティのツール開発などについて聞いてきました。

LINEのセキュリティチームはどんなチーム?

―― tokuhirom
宜しくお願いします。最初に、入社時期と現在メインでやってらっしゃる仕事を聞かせていただけますか?

2016年LINE Security Bug Bounty Programの結果について

常時運営化について

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。

今回の記事では、2016年の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、サービスに潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで、皆様により安全なサービスを提供することを目的としています。

まず、2015年に8月24日~9月23日の期間限定で試験的に実施し、そして、(1)プログラム内容の改善 (2)リスクの継続的な管理を目指して、プログラムの利用規約、報告フォーム、報告内容の判定基準、さらに常時運営を前提とした運営体制等のあらゆる側面の改善を準備し、2016年6月2日より「LINE Security Bug Bounty Program」として新たに運営をすることとなりました。

LINE Security Bug Bountyのトップページ : https://bugbounty.linecorp.com/

セキュリティエンジニアからみたUnityのこと

この記事はLINE Advent Calendar 2016の16記事目です。

こんにちは、LINEエンジニアの愛甲健二です。所属は「セキュリティ室」の「Application Security Team」というところで、主にリリース前のGames/Appsの診断を行っている、いわゆる一般的なセキュリティエンジニアです。今日はUnityに関するセキュリティ視点の入門記事を書きたいと思います。

20161222_1

Comprehensive Security for Hadoop

(This is the 8th article of LINE Advent Calendar 2016)

Hello everyone, this is Neil Tu from Data Labs. I am in charge of Hadoop architecture at Line Corp. I construct and manage Hadoop clusters and their ecosystems, and supply a high availability, and high performance platform for the engineers and data analysts in our group.

Today, the topic we are going to talk about is “Comprehensive Security for Hadoop”.

Abstract

Nowadays, Hadoop has become a popular platform for data storage, data analysis, reporting, and distributed calculations. Basically, Hadoop cluster is an open platform that supplies users with the required resources and HDFS capacity to execute queries. But as you know, Hadoop cluster comprises of many different componments with their own administration models, such as HDFS, Yarn, hive etc. It needs to access each componment to modify or edit access permissions. This is hard to manage, so a central management tool is necessary. Maybe it is better to name it ‘Framework’. Currently, there are some united open source administration management frameworks. Ranger for Hortonworks, and Sentry for Cloudera. Beside this, Ambari, HDFS and Yarn all provide a UI to track the status of a job or the job history. Sometimes you don’t want the information of a cluster to be seen by others, so you may need a tool which can do the user authentication for you. For this requirement, Knox can help you to achieve. You can regard Knox as a reverse proxy which provides a single REST API access point of authentication and access for Hadoop services.

LINE Bug Bountyの結果と総括

はじめに

こんにちは。LINEでセキュリティに関する業務を担当しているMJです。以前こちらの記事で、LINE初の試みである「LINE Bug Bounty Program」について紹介いたしましたが、今回、改めて内容を振り返りながら、その結果について書かせていただこうと思います。

LINE Bug Bountyは、8月24日から9月23日までの約1ヶ月間で行われ、その期間に発見した脆弱性を報告してくださった方には、最高で1件20,000米ドル(約240万円)をお支払いするというプログラムです。このような制度は国内ではまだ実施例が少なく、あまり馴染みがないかもしれません。しかし、LINEではユーザーの皆様により安全なサービスを提供したいと考えており、そのための取り組み、制度のひとつとして、今回のBug Bounty Programを実施しました。

本プログラムは我々にとっても初めての試みでありまったくの未知数だったのですが、結果的に194件の報告を受け、XSS、CSRFなど計14件をクリティカルな脆弱性として対応させていただきました。また報告件数の半分以上は日本国外からのものであり、海外のユーザーからの関心も大きかったことは大きな驚きでした。

では、結果の詳細について実際に見ていきましょう。

LINE Bug Bountyを公開いたしました

こんにちは。LINEでセキュリティを担当しているMJです。今回の記事では、LINEのBug Bountyプログラムについてご紹介させていただきます。

Bug Bountyとは

Bug Bountyとは、自社の製品やサービスのキュリティ上の脆弱性を発見した人に報奨金を支払うプログラムで、グローバル企業では製品・サービスのセキュリティ強化策として積極的に取り入れられています。実際、多数の企業がこのプログラムを活用して自社のサービスの品質改善とセキュリティ向上を図り、セキュリティ問題を解決しています。

LINEは、毎月の実ユーザー数が2億人以上に達するグローバル企業に成長しました。この成長過程で、数多くのアプリケーションと増えたユーザーをセキュリティーの脅威から保護することが求められるようになりました。そのため、LINEはBug Bountyプログラムを実施することで、より安心・安全なサービスの提供を目指してまいります。

Spark、Mesos、Zeppelin、HDFSを活用した大容量セキュリティデータの解析

LINE Plusでゲームセキュリティ開発を担当しているWJ、KHです。

莫大なユーザーがモバイルからアクセスするLINEゲームにおいて、データの迅速な解析と対応はそう容易なものではありません。LINEゲームへのアクセスと海外ユーザーの大幅な増加に伴い、様々なアビューズ(不正とされる操作を通じて不当な利益を得る行為)行為が次々と観察されています。アビューズ行為は、正常にゲームを利用する善意のユーザーに迷惑を掛けることはもとより、ゲームサービスそのものにも直接的な影響を及ぼします。ゲームの安定性を守り善意のユーザーを保護するためには、アビューズ行為に迅速に対処することがとても大事です。

アビューズ行為が探知されたら、異なった形式のログを関連付けて解析しその問題の原因を洗い出して修正する必要がありますが、このとき一番の障壁は、大容量のログデータの速やかな処理でした。LINEで扱う各種データ量の増加により、従来の伝統的なビッグデータ処理方式では現象が発生してから事象を確認するまで数十分、数時間が掛かってしまいます。また、データ形式(RDB、NoSQL、File、API)や大容量サービスのためのData Shardingのような技術導入などの理由から、すべてのデータを連携することも容易ではありませんでした。何よりも、人気ゲームの場合は流入されるデータ自体が非常に多いのです。いろんな観点から迅速なデータの処理を可能にする多彩なオープンソースを組合せ、その可能性をチェックしてみました。結果として、作業の分配とリソースの活用にはApache MesosとApache Sparkを活用し、データのビジュアライズ(可視化)にはApache Zeppelinを採用することが希望のデータ処理要件に最も近いことが分かり、適切な構成を試みることになりました。

LINEの暗号化について

LINEセキュリティチームです。今回はLINEで利用されている暗号化技術について紹介します。

LINE 3G通信での暗号化有無の確認

LINEについて一般的に誤解されている情報の中には、暗号化方式が弱いため外部に情報が流出する可能性が存在するという点と、wi-fi通信の中ではデータが暗号化されているがモバイルネットワーク(3G、LTE)を使用する場合は暗号化されていない、という点があります。
まず、暗号化が実際に実行されているかどうかについては、これを言葉で説明するのは意味がないので、現在アプリケーションが安全な状態であることを直接目で確認するほうが確実です。

暗号化の有無を確認するにあたって最も一般的に使用されるのは、特定の端末から送信されるネットワークデータをキャプチャーしてこれを観察する方法です。モバイルの場合、インターネット接続時にネットワークデータをキャプチャーするためのPCをVPNのようなサービスを利用して経由させ、データを観察します。Androidの場合は、Shark for root のようなアプリを使用すればパケットをキャプチャーできます。

実際にメッセージを送ってテストをしてみると、暗号化の有無がよくわかります。まず、LTEでスマートフォンからテストメッセージを送信してみましょう。