パスワードを忘れた? アカウント作成
14994543 story
スラッシュバック

LINE、他人のアカウントに影響を与える脆弱性の検証を行わないようセキュリティ研究者へ要請 51

ストーリー by nagazou
発見者に報奨金は払ったのだろうか 部門より
LINEは11月17日に不審なBotにより、ユーザーの同意なく強制的に友だちとして追加される事案があったと発表した。リリースによれば、このトラブルは2020年10月15日の午後5時から2020年11月03日の午前10時までの期間に発生しており、約12万を超えるユーザーが影響を受けた可能性があるとしている(LINEケータイWatch)。

原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。

これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。

今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。

報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。

脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。

当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

  • 「セキュリティ研究者」ってのもアレだねえ。ものは言い様だね。

    ここに返信
    • by Anonymous Coward

      おまえ、jbeefさんに後で吊るされるぞ

  • by Anonymous Coward on 2020年11月24日 18時18分 (#3929821)

    わざわざ誤解しやすいようにタイトルつけてるの?

    ここに返信
    • by renja (12958) on 2020年11月24日 19時09分 (#3929863) 日記

      このままでは「他人のアカウントに影響を与える脆弱性」の検証を行わないように要請したと読めますね。

      実際には、検証を行うときは他人のアカウントに影響を与えないように要請したというごく当たり前の話。

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      • by Anonymous Coward on 2020年11月24日 23時55分 (#3930050)

        当たり前に思えてしまうんだけど、
        脆弱性なんだから何が起こるかわからんのに、他人のアカウントに影響を与えないって難しいぞ。

        • by Anonymous Coward

          「他人に迷惑を掛けるな」並みの無理ゲー感

        • by Anonymous Coward

          ・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。

          ・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

          「他人」!=「協力者」

        • by Anonymous Coward

          要は善管注意義務を果たせって話でしょ
          まともなセキュリティ研究者は一般ユーザを巻き込んでバグを確認なんかしない

    • by Anonymous Coward

      > 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
      こっちの方がやべー

      • by Anonymous Coward on 2020年11月24日 18時29分 (#3929825)

        普通だよ
        攻撃が確認されてない限りは非公開で通知
        対応期間を区切ってそれでも対応されなければ公開が基本

    • by Anonymous Coward

      すまん、アホな俺に何を何と誤解したのか教えてくれ。

      • by Anonymous Coward on 2020年11月24日 18時35分 (#3929829)

        「脆弱性の検証を行わないよう要請」したように読めました。
        本文を読んでみると「他人のアカウントをに影響を与えることのないよう検証を行ってください」と書いてある。
        わざわざ「行わないよう」と言い換えてあるあたりに悪意があるな、と。

        • by Anonymous Coward

          確かにちょっとわかりにくいかもしれないけど、わかりにくいだけで悪意とかいうレベルではないと思うよ

          実際、私は誤読しなかったので

      • by Anonymous Coward on 2020年11月24日 19時40分 (#3929896)

        > 「他人のアカウントに影響を与える脆弱性」の検証を行わないようセキュリティ研究者へ要請
        実質的に脆弱性を検証すんじゃねー宣言と同じ

        > 他人のアカウントに影響を与える(方法での)脆弱性の検証を行わないようセキュリティ研究者へ要請
        やっても良いけど他人に影響与えんじゃねーってだけ

        俺も初めは前者かと思った
        後者ならニュースにならん、当たり前だもの

    • by Anonymous Coward

      タレコミ時からこのタイトルだったので気付いたときにコメント付ければストーリー採用時に直してくれるんかね
      「LINE、脆弱性の検証で他人のアカウントに影響を与えないようセキュリティ研究者へ要請」にすべきだったと思う

  • by Anonymous Coward on 2020年11月24日 20時06分 (#3929910)

    こないかな?

    ここに返信
    • by Anonymous Coward

      転職したんで少なくとも中の人としての声は聞けないな

  • by Anonymous Coward on 2020年11月24日 20時46分 (#3929936)

    この家には空き巣に入らないでくださいと立札を立てれば良いってこと?

    ここに返信
  • by Anonymous Coward on 2020年11月24日 21時59分 (#3929988)

    ってことですかね?

    ここに返信
    • by Anonymous Coward

      ごめん、何が言いたいのか分からない。
      上島メソッド? LINEがセキュリティ研究者に脆弱性暴露を推奨して、何の得が?

  • by Anonymous Coward on 2020年11月24日 23時21分 (#3930024)

    もう導入済みかと思ったら「一部の機能には未実装」みたいですね。どうなんでしょう。
    https://linecorp.com/ja/security/article/330 [linecorp.com]

    かつては二段階を設定しても乗っ取られたと主張するユーザーもいたようですが、どっちにしても大規模なブルーとアタックが
    継続しているようで、これ二段階認証無しではちょっとおっかないですね。
    一時期業務に使おうとした偉い人がいましたが、情シスから止められてました。なぜでしょう。よくわかりません。(棒

    ここに返信
    • by Anonymous Coward

      割と最近、乗っ取られてはないけど、ほかの端末のLINEから電話番号で認証したよ、ログインしたよって通知はきたことあるな。
      こっちにはその認証用のSMSすら来てないっていうのに。

  • by Anonymous Coward on 2020年11月25日 14時15分 (#3930359)

    電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。
    そのせいで昔から何も落ち度のない無関係なユーザーに迷惑かけている癖に。
    他人の落ち度に文句つけるなら、その前に自分の落ち度を謝罪しろよ。

    ここに返信
    • by Anonymous Coward

      電話番号なんて変更や移動が前提のものを個人のIDとして使用する欠陥仕様をどうにかしろよ。

      逆に電話番号以外で個人の認証に向くものって何になります?
      セキュリティが担保され、かつ一般的なスマートフォンユーザーが使いやすいもので。

      • by Anonymous Coward

        TOTPではいかんのか

        • by Anonymous Coward

          TOTPではいかんのか

          TOTPを使いこなせるユーザーがどれぐらいいるか、じゃないですかね。
          銀行系などは物理的なトークンを強制することで安全性を担保するのは必要でしょうけど、
          そこまではできないサービスの場合が悩ましいのかなぁと。
          だからアプリでのTOTPを採用しているサービスでも強制まではできてない気がします。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...