LINE、脆弱性の公募プログラム実施を発表：最大で2万ドルの報奨金

LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。

[＠IT]

　LINEは2015年8月5日、ユーザーが発見した脆弱（ぜいじゃく）性の公募プログラム「LINE Bug Bounty」の実施を発表した。報告者には、発見された脆弱性の重要度に応じ、1件あたり最低500ドル、最大で2万ドルの報奨金が支払われるという。

　プログラムの実施期間は2015年8月24日から2015年9月23日まで。期間中にオープンされる「脆弱性報告フォーム」から報告を行い、LINE内部での審査で脆弱性と認定されれば、深刻性や新規性に応じた報奨金が報告者に対して支払われる。同一の脆弱性が報告された場合には、先に報告を行った参加者のみが報奨金支払いの対象となる。

対象となる脆弱性と報奨金の一覧

脆弱性の種類	説明	報奨金
メッセージや通話の盗聴	他人のメッセージ、通話を盗聴、解読、改変、および終了できる	1万ドルから
SQLインジェクション	SQLインジェクションにより、個人情報を閲覧できる	3000ドルから
クロスサイトスクリプティング（XSS）	XSSにより、セッションハイジャックやスクリプト実行ができる	500ドルから
クロスサイトリクエストフォージェリ（CSRF）	CSRFにより、LINE利用者が意図しない処理をさせることができる	500ドルから
クライアントにおけるコードのリモート実行	細工されたメッセージをLINEへ送信し、受信端末で任意のコードを実行させることができる	2万ドルから
サーバーにおけるコードのリモート実行	細工されたパケットをサーバーへ送信し、サーバー側で任意のコードを実行させることができる	1万ドルから
認証バイパス	認証をバイパスし、なりすましを行うことができる	5000ドルから
課金バイパス	課金をバイパスし、アイテムを購入することができる	5000ドルから
その他	その他	500ドルから

　プログラムへの参加条件は、以下の通り。

• 成年であること（ただし未成年でも、親権者などの監督の下検証に参加することは可能）
• LINEまたは関連会社の社員でないこと
• LINEと連携して進行したプロジェクトを遂行した者でないこと
• 日本語または英語でのコミュニケーションが可能であること
• プログラム期間中および報酬支払時に経済制裁措置の対象となっている国（イラン・イスラム共和国、スーダン共和国、キューバ共和国、朝鮮民主主義人民共和国、ミャンマー連邦共和国、シリア・アラブ共和国など）に居住していないこと

　脆弱性報告の対象となるのはLINEが提供するコミュニケーションアプリ「LINE」のバージョン5.2以上で、関連アプリの「LINE Family apps」「LINE Game apps」などは対象外。また、自動スキャナーツールの検出結果をそのまま報告したものや、実際の検証コードがない仮説、「DoS（Denial of Service、サービス拒否）攻撃が可能である」などといった脆弱性の報告は、報奨金の支払い対象にならない。

（詳細はプログラムページを参照）