LINEにて一部のユーザーが大量のグループ招待や友だち追加で利用困難に! |
LINE Corp.は17日、同社が提供・運営するスマートフォン(スマホ)など向けコミュニケーションサービス「LINE(ライン)」( https://line.me )において不審なBotが利用者の同意なく、強制的に友だちとして追加され、また当該Botが作ったLINEグループに招待されるという事案が約12万を超えるLINE利用者を対象に発生したと発表しています。
期間は2020年10月27日20時から2020年11月3日10時までの間で、友だち追加や招待したBotの数は6673、影響を受けた利用者数は合計12万1208アカウント、国別では日本が1万5527アカウント、台湾が8万7191アカウント、タイが2812アカウント、インドネシアが7083アカウント、その他が8595アカウントとなっています。
原因はLINE Corp.が管理する特別なアカウントである「CLOVA専用アカウント」の仕様が悪用されたことだとのことで、これによる利用者のLINEアカウントに関する情報漏洩やアカウントの乗っ取りなどは発生してないとのこと。しかしながら、一部の利用者については大量のグループ招待によってLINEの利用が困難になるといった障害が発生したとしています。
そのため、同社では影響を受けた利用者には不便と迷惑をかけたとして謝罪をし、問題を起こしたBotによる大量のリクエストによってCLOVA Assistantのサービス自体の障害が発生していたため、この点についても利用している人には不便をかけたとしてお詫びしています。
またLINEの不具合について悪用方法が共有されていたり、すでに公知になっているような場合であっても他のLINEの利用者への迷惑となる行為はくれぐれも控えるよう案内し、LINE利用者への被害や同社のサービス運用に重大な支障が生じる場合には毅然とした対応を行うということです。
LINEでは通常のLINEアカウントの他に企業や店舗からのお知らせを発信する「LINE公式アカウント」という機能を提供しており、自動応答や翻訳などの機能を提供するものは「Bot」と呼び、LINEが開発したAIアシスタント「CLOVA Assistant」からLINEを利用するための特別なLINE公式アカウントとしてCLOVA専用アカウントが提供されています。
CLOVA AssistantのLINEメッセージ送受信機能を利用する場合にはこのCLOVA専用アカウントと友だちになる必要があり、友だちになることでCLOVA専用アカウントを介して参加しているLINEグループの内容を音声で読み上げたり、メッセージを送信したりすることができるようになっています。一方、LINE公式アカウントはLINE利用者の同意なく、自動で友だちに追加されたり、メッセージやグループ招待を一方的に送信されるといったことは通常は発生しません。
今回発生した事業は原因となる不具合によってCLOVA専用アカウントの仕様を悪用し、利用者の同意なく勝手に友だちへの追加やグループへの招待が行われ、特に大量のグループ招待によってLINEの利用が困難になるといった障害が発生したということです。
影響を受けた利用者は共通のLINEグループへの参加や電話番号およびLINE IDによる検索、LINEの各種サービス上での全体公開の活動等によってLINEの内部識別子が収集され、迷惑行為の対象となったものと同社では推定しているとのこと。
ただし、Botから取得可能な利用者の情報は利用者の公開情報(表示名、プロフィール画像、ステータスメッセージなど)のみに制限されているため、追加の情報漏洩は発生していないということです。発覚からの対応時系列(日本時間)は以下の通り。
・2020年10月15日17:56 LINE Bug Bounty Programを通じて今回の事象に関する報告を受信
・2020年10月29日18:15 利用者から「CLOVA専用アカウント」と表示されるBotによるグループ招待および友達追加されたとの報告を受信
・2020年11月2日10:38 特定のBotによって「CLOVA Assistant」関連の特定APIが多量に呼び出された(同日2:00)ことを確認
・2020年11月2日16:00 「CLOVA専用アカウント」と表示される14のBotを削除
・2020年11月2日20:30 「CLOVA Assistant」関連APIに対するパッチ配布(1回目)
・2020年11月3日13:39 「CLOVA Assistant」で発生した障害について、Twitter上で案内(障害発生期間:11月2日11:40〜13:51、19:18〜22:17)
・2020年11月4日19:00 当該Botによるグループ招待された利用者に対してグループ招待のキャンセル処理を実施(1回目)
・2020年11月4日20:05 「CLOVA Assistant」関連APIに対するパッチ配布(2回目)
・2020年11月5日19:00 当該Botによりグループ招待された利用者に対するグループ招待のキャンセル処理を実施(2回目)
・2020年11月16日15:46 当該Botによりグループ招待された利用者に対するグループ招待のキャンセル処理を実施(3回目)
同社では今回の件に対して問題を起こしたBotをすでに削除し、多くのグループに招待を受けている利用者を対象にグループ招待のキャンセル処理を実施、さらに当該グループに参加済みの場合には自動で削除はされないため、手間をかけるものの、利用者自身にて当該グループ内での「グループ退会」により退会およびグループを削除してするように案内しています。
その他、同社では2016年より運営している「LINE Security Bug Bounty Program」にて同社のサービスの脆弱性に関する報告を受け付けており、LINEのセキュリティーに関する不具合の情報やその実証コードが出回っていたのを見つけた場合、LINE Security Bug Bounty Programに報告して欲しいと案内し、このプログラムの規定に基づく報奨金の支払いをしています。
また自身で発見した脆弱性ではない場合であっても報告時点で同社が把握しておらず、有益な情報であった場合には評価や謝礼の対象となる場合があるとし、迅速な対応や適正な評価のために他の人が発見した脆弱性である場合や実際の悪用行為が観測されている場合にはレポートにその旨を含めるようお願いしています。その上で、セキュリティー研究者の人に以下のようなお願いをしています。
今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。
・報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。
・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
・Spamやサービス拒否に繋がる脆弱性については、対策や制限によって通常の利用方法に対する副作用が発生するような場合もあるため、修正可否の判断も含め、通常よりも対応に時間がかかる場合がございます。脆弱性を把握した際には、これを悪用したり、発見した手法を拡散したり、他人のアカウントに影響を与えるような検証行為は絶対に行わず、速やかに当社の窓口への報告をお願いします。当プログラムの利用規約においても、当該行為を禁止事項としております。
規約違反が確認された場合には、報奨金の支払いやプログラムへの今後の参加をお断りさせていただく可能性がございます。Bug Bounty Programの規約違反行為が発覚した場合には、脆弱性の検証にあたっての免責条項が適用されなくなり、不正アクセス行為やサービス妨害行為には刑事責任が発生する場合もございます。
アプリ名:LINE(ライン)
価格:無料
カテゴリー:通信
開発者:LINE Corporation
バージョン:デバイスにより異なります
Android 要件:デバイスにより異なります
Google Play Store:https://play.google.com/store/apps/details?hl=ja&id=jp.naver.line.android
アプリ名:LINE
価格:無料
カテゴリー:ソーシャルネットワーキング
開発者:LINE Corporation
バージョン:10.19.0
互換性:iOS 12.0およびwatchOS 6.0以降が必要です。iPhone、iPad、およびiPod touchに対応。
iTunes Store:https://itunes.apple.com/jp/app/id443904275?mt=8
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・LINE 関連記事一覧 – S-MAX
・大量のグループ招待及び友だち追加の発生に関するお知らせとお詫び | LINE Corporation | セキュリティ&プライバシー
(引用元:livedoor news)