LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。
LINEは2015年8月5日、ユーザーが発見した脆弱(ぜいじゃく)性の公募プログラム「LINE Bug Bounty」の実施を発表した。報告者には、発見された脆弱性の重要度に応じ、1件あたり最低500ドル、最大で2万ドルの報奨金が支払われるという。
プログラムの実施期間は2015年8月24日から2015年9月23日まで。期間中にオープンされる「脆弱性報告フォーム」から報告を行い、LINE内部での審査で脆弱性と認定されれば、深刻性や新規性に応じた報奨金が報告者に対して支払われる。同一の脆弱性が報告された場合には、先に報告を行った参加者のみが報奨金支払いの対象となる。
脆弱性の種類 | 説明 | 報奨金 |
---|---|---|
メッセージや通話の盗聴 | 他人のメッセージ、通話を盗聴、解読、改変、および終了できる | 1万ドルから |
SQLインジェクション | SQLインジェクションにより、個人情報を閲覧できる | 3000ドルから |
クロスサイトスクリプティング(XSS) | XSSにより、セッションハイジャックやスクリプト実行ができる | 500ドルから |
クロスサイトリクエストフォージェリ(CSRF) | CSRFにより、LINE利用者が意図しない処理をさせることができる | 500ドルから |
クライアントにおけるコードのリモート実行 | 細工されたメッセージをLINEへ送信し、受信端末で任意のコードを実行させることができる | 2万ドルから |
サーバーにおけるコードのリモート実行 | 細工されたパケットをサーバーへ送信し、サーバー側で任意のコードを実行させることができる | 1万ドルから |
認証バイパス | 認証をバイパスし、なりすましを行うことができる | 5000ドルから |
課金バイパス | 課金をバイパスし、アイテムを購入することができる | 5000ドルから |
その他 | その他 | 500ドルから |
プログラムへの参加条件は、以下の通り。
脆弱性報告の対象となるのはLINEが提供するコミュニケーションアプリ「LINE」のバージョン5.2以上で、関連アプリの「LINE Family apps」「LINE Game apps」などは対象外。また、自動スキャナーツールの検出結果をそのまま報告したものや、実際の検証コードがない仮説、「DoS(Denial of Service、サービス拒否)攻撃が可能である」などといった脆弱性の報告は、報奨金の支払い対象にならない。
(詳細はプログラムページを参照)
Copyright © ITmedia, Inc. All Rights Reserved.