2015/10/19
最高2万ドルの賞金! LINEの脆弱性公募の取り組みとは
いまや日本の新しいコミュニケーションインフラの代表といってもいいLINE。トークで交わされているメッセージは、参加者が自ら公開しない限り、外部には知られないことが前提だ。だが、その前提が崩れてしまったら......。
万が一そのような事態が発生しないよう、運営会社であるLINEはサービス公開以降、セキュリティー専門組織や内外の専門家によるセキュリティー検証・脆弱性対策などの取り組みを行ってきた。そしてこのたび、より安心で安全なサービス提供を目的として、LINEアプリの脆弱性の発見を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」を実施した。
2015年8月24日12時~9月23日12時(日本時間)の期間内に報告されたLINEアプリの脆弱性について、社内で確認・審査を行い、その内容を認めたものについて報告者名の脆弱性の概要を公表し、賞金を支払うプログラムだ。賞金額は脆弱性の重大度により異なり、以下のとおりとなっている。
この表から分かるとおり、海外からの応募も想定して英語での応募も可能で、賞金もドル建てで設定されている。
ユーザーからの脆弱性報告による報奨金制度は、Google、Mozilla、Facebook、Microsoftなどが実施しており、海外では各社の報奨金制度を利用して脆弱性を発見することで生計を立てるプロの「バグハンター」も登場しているほどだ。日本のIT企業では、サイボウズが同様の制度を継続的に実施しており、検証環境が必要な人向けに「脆弱性検証環境提供プログラム」を用意している。各社は専門家だけでなく、ユーザーの力も借りて、より安全なサービスを提供している。
また、LINEでは、コーポレートサイト上にセキュリティー&プライバシーのページを新たに設け、LINEのセキュリティーへの取り組みや、よりセキュアにLINEを利用するための設定方法などの情報提供を開始している。
文:水島みなと