いつもLINE BLOGをご利用いただき誠にありがとうございます。
このたび、LINE BLOGにおいて、第三者による不正な操作を可能とする脆弱性(セキュリティ上の不具合)の報告を受け、修正を完了したことをお知らせします。

概要


LINE BLOGにおいて、不正な操作(第三者による投稿・編集・削除、公開前の記事の閲覧などのLINE BLOGにおける全ての操作)を可能とするセキュリティ上の不具合(以下、本脆弱性)が存在していたことが、社外のセキュリティ研究者からバグ報告を受け付ける「LINE Security Bug Bounty Program」(*1) の報告により判明いたしました。なお、本脆弱性は2021年9月10日の修正により、現在は解消しています。

本脆弱性の詳細について


LINE BLOGのアプリにログインする際、APIリクエストに含まれるLINEユーザーの内部ID(*2)の値を他人の内部IDに偽装することで、偽装された内部IDと紐づいている他人のブログにログインでき、該当ブログの操作ができてしまう状態でした。

■ 想定される被害


第三者によってすべてのLINE BLOGアプリに不正にログインされる可能性がありました。

(不正ログインにより想定される被害の具体例)
-公開前の記事(下書きと予約投稿の記事)やアクセス解析のデータなど、読者に公開されないブログ情報の閲覧ができた可能性がありました。
-プロフィールの変更、記事の投稿、編集、削除ができた可能性がありました。

■ 対象となるブログの条件


すべてのブログ

■ 本脆弱性の発生日


2019年11月28日

■ 本脆弱性の判明日


2021年9月10日 11:00
※「LINE Security Bug Bounty Program」からの報告によるもの

■ 本脆弱性の修正日


2021年9月10日 15:20

■ 不正利用の調査


調査日(2021年9月10日)時点において、当社にて保有している範囲の記録を調査したところ、大量あるいは継続的な脆弱性の悪用がなかったことを確認しました。今後新たな事実が判明した場合は速やかにお知らせいたします。

なお、下記のケースについては調査の対象外となります。
・アクセストークン(*3)の有効期限(30日)が過ぎている場合
・脆弱性を利用したログイン後に、指定されたIDの正規のユーザーがログインした場合
・アクセストークンが無効化されている場合

ユーザー様側で必要な対応


当社にて修正を完了しておりますため、ユーザー様側で必要な対応はありません。
この度はご迷惑とご心配をおかけし申し訳ございません。

お問い合わせについて


ブログの記事やプロフィールが改変されたり、公開前の記事が他のメディアやSNSに転載された等、お気づきの点がありましたら、ヘルプページ内のお問い合わせフォームより、ご連絡をお願いいたします。

セキュリティ強化による再発防止を図り、信頼回復に努めてまいります。
今後ともLINE BLOGをよろしくお願いいたします。

補足


(*1)LINE Security Bug Bounty Programとは、LINEが実施している社外のセキュリティ研究者から脆弱性の報告を受けつけているプログラムです。
https://bugbounty.linecorp.com/ja/
(*2)LINEユーザーの内部IDは、LINEで友だちになっていたり同じグループトークに参加している場合に把握できます。不正利用を行うためには、LINE BLOGを管理しているLINEユーザーの内部IDを予め入手する必要があります。
(*3)アクセストークンとは、LINEプラットフォームに保存されているユーザー情報(例:ユーザーID、表示名、プロフィール画像、およびステータスメッセージ)を利用する際に必要なユーザー識別のための文字列です。