ニュース
LINE、脆弱性の公募プログラム実施を発表:最大で2万ドルの報奨金
LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。
LINEは2015年8月5日、ユーザーが発見した脆弱(ぜいじゃく)性の公募プログラム「LINE Bug Bounty」の実施を発表した。報告者には、発見された脆弱性の重要度に応じ、1件あたり最低500ドル、最大で2万ドルの報奨金が支払われるという。
プログラムの実施期間は2015年8月24日から2015年9月23日まで。期間中にオープンされる「脆弱性報告フォーム」から報告を行い、LINE内部での審査で脆弱性と認定されれば、深刻性や新規性に応じた報奨金が報告者に対して支払われる。同一の脆弱性が報告された場合には、先に報告を行った参加者のみが報奨金支払いの対象となる。
| 脆弱性の種類 | 説明 | 報奨金 |
|---|---|---|
| メッセージや通話の盗聴 | 他人のメッセージ、通話を盗聴、解読、改変、および終了できる | 1万ドルから |
| SQLインジェクション | SQLインジェクションにより、個人情報を閲覧できる | 3000ドルから |
| クロスサイトスクリプティング(XSS) | XSSにより、セッションハイジャックやスクリプト実行ができる | 500ドルから |
| クロスサイトリクエストフォージェリ(CSRF) | CSRFにより、LINE利用者が意図しない処理をさせることができる | 500ドルから |
| クライアントにおけるコードのリモート実行 | 細工されたメッセージをLINEへ送信し、受信端末で任意のコードを実行させることができる | 2万ドルから |
| サーバーにおけるコードのリモート実行 | 細工されたパケットをサーバーへ送信し、サーバー側で任意のコードを実行させることができる | 1万ドルから |
| 認証バイパス | 認証をバイパスし、なりすましを行うことができる | 5000ドルから |
| 課金バイパス | 課金をバイパスし、アイテムを購入することができる | 5000ドルから |
| その他 | その他 | 500ドルから |
プログラムへの参加条件は、以下の通り。
- 成年であること(ただし未成年でも、親権者などの監督の下検証に参加することは可能)
- LINEまたは関連会社の社員でないこと
- LINEと連携して進行したプロジェクトを遂行した者でないこと
- 日本語または英語でのコミュニケーションが可能であること
- プログラム期間中および報酬支払時に経済制裁措置の対象となっている国(イラン・イスラム共和国、スーダン共和国、キューバ共和国、朝鮮民主主義人民共和国、ミャンマー連邦共和国、シリア・アラブ共和国など)に居住していないこと
脆弱性報告の対象となるのはLINEが提供するコミュニケーションアプリ「LINE」のバージョン5.2以上で、関連アプリの「LINE Family apps」「LINE Game apps」などは対象外。また、自動スキャナーツールの検出結果をそのまま報告したものや、実際の検証コードがない仮説、「DoS(Denial of Service、サービス拒否)攻撃が可能である」などといった脆弱性の報告は、報奨金の支払い対象にならない。
(詳細はプログラムページを参照)
Copyright © ITmedia, Inc. All Rights Reserved.
Flash Playerの脆弱性を狙う攻撃、国内多数のWebサイトを改ざんし足掛かりに
脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
Metasploit――大いなる力を手に入れる