LINE、他人のアカウントに影響を与える脆弱性の検証を行わないようセキュリティ研究者へ要請 51
ストーリー by nagazou
発見者に報奨金は払ったのだろうか 部門より
発見者に報奨金は払ったのだろうか 部門より
LINEは11月17日に不審なBotにより、ユーザーの同意なく強制的に友だちとして追加される事案があったと発表した。リリースによれば、このトラブルは2020年10月15日の午後5時から2020年11月03日の午前10時までの期間に発生しており、約12万を超えるユーザーが影響を受けた可能性があるとしている(LINE、ケータイWatch)。
原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。
原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。
今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。
報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。
脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
ものは言い様 (スコア:1)
「セキュリティ研究者」ってのもアレだねえ。ものは言い様だね。
Re: (スコア:0)
おまえ、jbeefさんに後で吊るされるぞ
悪意のあるタイトルだな (スコア:0)
わざわざ誤解しやすいようにタイトルつけてるの?
Re:悪意のあるタイトルだな (スコア:2, すばらしい洞察)
このままでは「他人のアカウントに影響を与える脆弱性」の検証を行わないように要請したと読めますね。
実際には、検証を行うときは他人のアカウントに影響を与えないように要請したというごく当たり前の話。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:悪意のあるタイトルだな (スコア:1)
当たり前に思えてしまうんだけど、
脆弱性なんだから何が起こるかわからんのに、他人のアカウントに影響を与えないって難しいぞ。
Re: (スコア:0)
「他人に迷惑を掛けるな」並みの無理ゲー感
Re: (スコア:0)
・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
「他人」!=「協力者」
Re: (スコア:0)
要は善管注意義務を果たせって話でしょ
まともなセキュリティ研究者は一般ユーザを巻き込んでバグを確認なんかしない
Re: (スコア:0)
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
こっちの方がやべー
Re:悪意のあるタイトルだな (スコア:1)
普通だよ
攻撃が確認されてない限りは非公開で通知
対応期間を区切ってそれでも対応されなければ公開が基本
Re: (スコア:0)
都合の良い場所だけ読むなよ
俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。
> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
って書いてあんだろ
なんでお前は文章を読めないでタイトルしかよまないんだ
Re: (スコア:0, フレームのもと)
ちゃんと日本語理解して。
わからないならちゃんと日本語勉強して。
とても恥ずかしいから。
Re: (スコア:0)
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。
脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
Re: (スコア:0)
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ
何が疑問なんだ?
Re: (スコア:0)
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
Re: (スコア:0)
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもね
メモリに収まらないとか、必要なハードウェア支援がなかったりして
Re: (スコア:0)
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えると
それでも、推定としか書いてない。
また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
Re: (スコア:0)
そんなん当たり前ですがな。
悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、
脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
Re: (スコア:0)
発見者の落ち度で悪用されたのにLINEに責任を押し付けるってすごいな
Re: (スコア:0)
>詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。
>本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
LINE側の発表でも推定でまだ確定してない。LINE側の発表だからLINE側にいいいように解釈するのが普通、それでも確定できてない。
この段階で、LINE不具合なのに、発見者に責任を押し付けるのって、すごいな。
まあ、LINEの不具合の責任はなくなるわけではない。
Re: (スコア:0)
脆弱性を漏らしたのは発見者の落ち度だということにはまったく変わりはないな
Re: (スコア:0)
すまん、アホな俺に何を何と誤解したのか教えてくれ。
Re:悪意のあるタイトルだな (スコア:4, すばらしい洞察)
「脆弱性の検証を行わないよう要請」したように読めました。
本文を読んでみると「他人のアカウントをに影響を与えることのないよう検証を行ってください」と書いてある。
わざわざ「行わないよう」と言い換えてあるあたりに悪意があるな、と。
Re: (スコア:0)
確かにちょっとわかりにくいかもしれないけど、わかりにくいだけで悪意とかいうレベルではないと思うよ
実際、私は誤読しなかったので
Re:悪意のあるタイトルだな (スコア:1)
> 「他人のアカウントに影響を与える脆弱性」の検証を行わないようセキュリティ研究者へ要請
実質的に脆弱性を検証すんじゃねー宣言と同じ
> 他人のアカウントに影響を与える(方法での)脆弱性の検証を行わないようセキュリティ研究者へ要請
やっても良いけど他人に影響与えんじゃねーってだけ
俺も初めは前者かと思った
後者ならニュースにならん、当たり前だもの
Re: (スコア:0)
タレコミ時からこのタイトルだったので気付いたときにコメント付ければストーリー採用時に直してくれるんかね
「LINE、脆弱性の検証で他人のアカウントに影響を与えないようセキュリティ研究者へ要請」にすべきだったと思う
malaがくる? (スコア:0)
こないかな?
Re: (スコア:0)
転職したんで少なくとも中の人としての声は聞けないな
空巣に入られないようにするには (スコア:0, おもしろおかしい)
この家には空き巣に入らないでくださいと立札を立てれば良いってこと?
Re:空巣に入られないようにするには (スコア:3)
違う。
地球上のどんな郵便ポストのロックも解除できる鍵を見つけた人がいたが
「それを使ってポストの中を漁らないでください」と新聞記事に掲載
Re:空巣に入られないようにするには (スコア:3)
「残念ながら、対策が完了する前に本物の空き巣にバレる事件が起こってしまいました。空き巣実験は本物の犯罪者にバレないように、また赤の他人の家などは使わずに知人宅でやってください」ってことですかね。
Re: (スコア:0)
鍵売り場に「この鍵をかけている家に空き巣に入れるか検証しないでください」と張り紙
Re: (スコア:0)
その立て札はオマエのうちに立てろ、余所さまに迷惑かけんなってこと。
やるなよ絶対やるなよ! (スコア:0)
ってことですかね?
Re: (スコア:0)
ごめん、何が言いたいのか分からない。
上島メソッド? LINEがセキュリティ研究者に脆弱性暴露を推奨して、何の得が?
二段階認証 (スコア:0)
もう導入済みかと思ったら「一部の機能には未実装」みたいですね。どうなんでしょう。
https://linecorp.com/ja/security/article/330 [linecorp.com]
かつては二段階を設定しても乗っ取られたと主張するユーザーもいたようですが、どっちにしても大規模なブルーとアタックが
継続しているようで、これ二段階認証無しではちょっとおっかないですね。
一時期業務に使おうとした偉い人がいましたが、情シスから止められてました。なぜでしょう。よくわかりません。(棒
Re: (スコア:0)
割と最近、乗っ取られてはないけど、ほかの端末のLINEから電話番号で認証したよ、ログインしたよって通知はきたことあるな。
こっちにはその認証用のSMSすら来てないっていうのに。
んなこと言う前に (スコア:0)
電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。
そのせいで昔から何も落ち度のない無関係なユーザーに迷惑かけている癖に。
他人の落ち度に文句つけるなら、その前に自分の落ち度を謝罪しろよ。
Re: (スコア:0)
電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。
逆に電話番号以外で個人の認証に向くものって何になります?
セキュリティが担保され、かつ一般的なスマートフォンユーザーが使いやすいもので。
Re: (スコア:0)
TOTPではいかんのか
Re: (スコア:0)
TOTPではいかんのか
TOTPを使いこなせるユーザーがどれぐらいいるか、じゃないですかね。
銀行系などは物理的なトークンを強制することで安全性を担保するのは必要でしょうけど、
そこまではできないサービスの場合が悩ましいのかなぁと。
だからアプリでのTOTPを採用しているサービスでも強制まではできてない気がします。
Re:つまり (スコア:3, 参考になる)
やってるよ
https://bugbounty.linecorp.com/ja/ [linecorp.com]
Re: (スコア:0)
脆弱性を攻撃されて、それが成功したって認めたくないのね。
あくまでも脆弱性を研究していた人によるミスが原因だと。
そーゆーこと言いたいならバグバウンティプログラムでも立ち上げてからにしなさいな。
ユーザーに影響を与える不具合を作らないでくれれば、それでいいんだけどね。
Re: (スコア:0, フレームのもと)
5. 当社サービスに対する不具合報告についてのお願い
セキュリティ研究者の方へ
当社は、2016年より運営しているLINE Security Bug Bounty Programにて、当社サービスの脆弱性に関する報告を
受け付けており、本プログラムの規定に基づく報奨金のお支払いをさせて頂いております。
今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の
保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。
ほら、太字にしてやったぞ