こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
LINE CONOMI株式会社は6月27日、同社が提供する「LINE PLACE」に投稿されたレシート画像が閲覧可能となる脆弱性について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】バグバウンティにより、LINE関連のサービスに脆弱性が発見されたということです。発見された脆弱性の内容と、バグバウンティの概要について説明します。
今回の脆弱性は、ユーザーがLINE PLACEに投稿したレシート画像のURLとレシート画像について、閲覧可能となるものです。影響として、レシート画像に含まれる、氏名、クレジットカード番号の一部、Exif情報が漏洩する可能性があるということです。
対策として、LINE CONOMIでは当該脆弱性を修正し、本事象の影響を受ける可能性があったユーザーに、「LINE PLACE」アプリと「LINE PLACE」LINE公式アカウントから通知しています。なお、本脆弱性はLINE Security Bug Bounty Program を通じて LINE株式会社より報告があり、判明したということです。
スマートフォンなどで位置情報を記録するオプションを有効にしていた場合、その情報からプライバシーが侵害される可能性があることに注意が必要です。
例えば、みなさんがスマートフォンで位置情報をオンにした状態で写真を撮影し、SNSへアップロードしたとします。写真から場所を特定できなかったとしても、画像ファイルには位置情報が付加されていることがありますので、みなさんがどこにいるかわかってしまうことになります。
対策として、写真をSNSなどで公開する際は、位置情報を削除するか、位置情報をオフにして撮影した写真を公開することが必要です。写真以外にも、スマートフォンのアプリを通じて位置情報が記録される場合がありますので、アプリに割り当てられた権限を確認して、位置情報へのアクセスが許可されている場合は、意図したものであるかも含めて、注意して使用するようにしましょう。
バグバウンティとは、サービス提供元の依頼に基づいて、脆弱性を発見した際に報告者へ報酬が支払われる、成果報酬型のセキュリティサービスです。主に多くの人が使う製品や、頻繁に更新されるシステムに対して、効率的に脆弱性を洗い出す仕組みとして利用されています。
脆弱性は製品がより多くの人の目にさらされることで、発見される確率が上がることになります。また、システム変更が行われた際に、過去に存在しなかった脆弱性が、新たに作り込まれてしまう可能性もあります。
このように、随時顕在化する可能性のある脆弱性を、リアルタイムに発見する仕組みとして、バグバウンティの仕組みが活用されることも多くなってきました。
今回は、LINE関連のサービスに発見された脆弱性の内容と、バグバウンティの概要についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
