常時運営化について こんにちは。LINEでセキュリティに関する業務を担当しているMJです。 今回の記事では、2016年の「LINE Security Bug Bounty Program」を振り返り、皆さんにご紹介していきたいと思います。このプログラムは、サービスに潜在的に存在する脆弱性を外部のエンジニアの方々からご報告を頂き、我々が迅速に修正していくことで、皆様により安全なサービスを提供することを目的としています。 まず、2015年に8月24日~9月23日の期間限定で試験的に実施し、そして、(1)プログラム内容の改善 (2)リスクの継続的な管理を目指して、プログラムの利用規約、報告フォーム、報告内容の判定基準、さらに常時運営を前提とした運営体制等のあらゆる側面の改善を準備し、2016年6月2日より「LINE Security Bug Bounty Program」として新たに運営をすることとなりました。 LINE Security Bug Bountyのトップページ: https://bugbounty.linecorp.com/ 脆弱性報告フォーム: https://bugbounty.linecorp.com/apply/ プログラムのFAQ: https://bugbounty.linecorp.com/ja/faq/ 日付/脆弱性別の受付状況 LINE Security Bug Bounty報告フォームから受付した状況は以下のとおりです。 常時運営の開始日2016年6月2日から12月31日までの約7ヶ月間で、97件の報告を受付いたしました。以下の【図1】は、日別(週別)の受付件数、受付脆弱性名の割合をグラフで表現したものです。 国別アクセス 今回受付けた97件のうち、日本国内からは15件、海外からは82件でした。以下【図2】は、常時運営期間、WEBサイトにアクセスした国別アクセスの割合ですが、日本のみならず海外からも高い関心があったことがわかりました。 審査について 受付した内容は、1次審査、2次審査に分けて行われました。審査については、前回の記事でも紹介しましたが、 1次審査、2次審査を通ったものが脆弱性として認定され、報奨金の対象になります。認定されると、Hall of fameに報告者の名前、認定された脆弱性のカテゴリなどが公開されます。 審査ステータスは以下のとおりです。 1st ACCEPT:脆弱性報告の提出資料として審査可能と判断した状態です。 1st REJECT:脆弱性報告の提出資料として審査不能と判断した状態です。 2nd ACCEPT:資料の内容を精査して脆弱性として認定された状態です。 2nd REJECT:資料の内容を精査して脆弱性として認定されなかった状態です。 Completed:報奨金の支払いまで完了した状態です。 審査結果 今回のプログラムでは、XSS、CSRFなど合計13件が脆弱性として認定されました。 2016年の常時運営プログラムを通じて発生した報奨金の総額は、27,000 USDでした。 審査結果については、Hall of fameページから確認することができます。 Hall of fameの更新状況はこちらのページでアナウンスを行っています。 審査の結果、利用規約上プログラムの対象ではなかったため、正式には認定できないものがあり、 その中でもLINEにとって有益な情報であった報告については、特別な取り扱いとしてSpecial Contributorsという枠を設け、 2016年には、8人の方を認定させていただきました。 おわりに 皆様の高い関心とたくさんの有益な報告のおかげで、LINE Security Bug Bounty Programを通じてLINEは多くの改善を達成することができました。 報告いただいた脆弱性はすべて修正されており、ユーザーの皆様はLINEサービスをより安全に利用することができます。 LINE Security Bug Bounty ProgramがLINEのセキュリティリスクを減らす取り組みの一環のプログラムとして、さらに良質なものへと拡張/発展できるように努力したいと思います。 現在、LINEが提供するサービスの数も増加し、さらにグローバルに拡大している状況であるためプログラムの対象の拡大については特に優先的課題として検討を続けております。 LINE Security Bug Bounty Programサイトでは常時脆弱性報告を受け付けていますので、今後も皆様のご協力とご参加をお待ちしております。
↧