“LINE”アカウントのプロフィール画像が書き換えられてしまう脆弱性（2020年6月30日追記）

“LINE”による発表

　無料コミュニケーションツール“LINE”を運営するLINE（株）は9月2日、“LINE”アカウントのプロフィール画像アップロード機能に脆弱性が発見されたことを明らかにした。8月31日午前2時にバグ報奨プログラム“LINE Security Bug Bounty Program”を通じて報告を受け、同日午後6時に修正を実施したという。

　同社によると、“LINE”アカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIでアクセス制御の不備があり、第三者が他のアカウントのプロフィール画像を意図的に変更可能な状態となっていたとのこと。通常の個人用“LINE”アカウントだけでなく、“LINE＠”や“LINE公式アカウント”も影響を受ける。

　本脆弱性を悪用した攻撃は、少なくとも8月30日より2019年8月31日にかけて確認されている。その後の調査で脆弱性は今年5月17日より存在していたことが判明しており、現在、過去にさかのぼって影響の調査を行っているとのこと。なお、この脆弱性はあくまでも画像アップロードに関するものであり、今のところパスワードや個人情報の漏洩は確認されていないという。

　同社は被害にあったアカウントのユーザーに対し個別に連絡を行っているが、網羅的な確認には時間を要する。同社はユーザー自身の確認を求めるとともに、もし復旧が必要となった場合は問い合わせフォームから連絡してほしいとしている。

2020年6月30日編集部追記 ：2020年6月27日の当該脆弱性を利用した不正アクセス事件に関する報道を受け、LINE社は6月30日に改めて声明を発表した。声明では、本脆弱性の影響を受けたユーザーに改めて謝罪するとともに、「LINE」のサーバーへの侵入やパスワードの漏洩といった他の被害は発生していないことが報告されている。また、脆弱性を発見した際に検証目的であっても、他人のアカウントに影響を与えるような行為は刑事責任が発生する場合があることを強調している。