ニュース

“LINE”アカウントのプロフィール画像が書き換えられてしまう脆弱性 ~今年5月から存在

報告を受けて即日修正されるも、一部アカウントに被害

“LINE”による発表

 無料コミュニケーションツール“LINE”を運営するLINE(株)は9月2日、“LINE”アカウントのプロフィール画像アップロード機能に脆弱性が発見されたことを明らかにした。8月31日午前2時にバグ報奨プログラム“LINE Security Bug Bounty Program”を通じて報告を受け、同日午後6時に修正を実施したという。

 同社によると、“LINE”アカウントのプロフィール画像を変更する際に使われる画像アップロード機能のAPIでアクセス制御の不備があり、第三者が他のアカウントのプロフィール画像を意図的に変更可能な状態となっていたとのこと。通常の個人用“LINE”アカウントだけでなく、“LINE@”や“LINE公式アカウント”も影響を受ける。

 本脆弱性を悪用した攻撃は、少なくとも8月30日より2019年8月31日にかけて確認されている。その後の調査で脆弱性は今年5月17日より存在していたことが判明しており、現在、過去にさかのぼって影響の調査を行っているとのこと。なお、この脆弱性はあくまでも画像アップロードに関するものであり、今のところパスワードや個人情報の漏洩は確認されていないという。

 同社は被害にあったアカウントのユーザーに対し個別に連絡を行っているが、網羅的な確認には時間を要する。同社はユーザー自身の確認を求めるとともに、もし復旧が必要となった場合は問い合わせフォームから連絡してほしいとしている。