バグバウンティにより、LINE関連サービスに脆弱性がみつかる

SHIFT SECURITY セキュリティの学び場ニュース解説バグバウンティにより、LINE関連サービスに脆弱性がみつかる

バグバウンティにより、LINE関連サービスに脆弱性がみつかる

2023.07.10 ニュース解説

今回の解説ニュース
位置情報を記録するサービスの利用注意点
バグバウンティとは

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

バグバウンティ通じ報告～「LINE PLACE」に投稿されたレシート画像が閲覧可能となる脆弱性

LINE CONOMI株式会社は6月27日、同社が提供する「LINE PLACE」に投稿されたレシート画像が閲覧可能となる脆弱性について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

バグバウンティにより、LINE関連のサービスに脆弱性が発見されたということです。発見された脆弱性の内容と、バグバウンティの概要について説明します。

今回の脆弱性は、ユーザーがLINE PLACEに投稿したレシート画像のURLとレシート画像について、閲覧可能となるものです。影響として、レシート画像に含まれる、氏名、クレジットカード番号の一部、Exif情報が漏洩する可能性があるということです。

対策として、LINE CONOMIでは当該脆弱性を修正し、本事象の影響を受ける可能性があったユーザーに、「LINE PLACE」アプリと「LINE PLACE」LINE公式アカウントから通知しています。なお、本脆弱性はLINE Security Bug Bounty Program を通じて LINE株式会社より報告があり、判明したということです。

位置情報を記録するサービスの利用注意点

スマートフォンなどで位置情報を記録するオプションを有効にしていた場合、その情報からプライバシーが侵害される可能性があることに注意が必要です。

例えば、みなさんがスマートフォンで位置情報をオンにした状態で写真を撮影し、SNSへアップロードしたとします。写真から場所を特定できなかったとしても、画像ファイルには位置情報が付加されていることがありますので、みなさんがどこにいるかわかってしまうことになります。

対策として、写真をSNSなどで公開する際は、位置情報を削除するか、位置情報をオフにして撮影した写真を公開することが必要です。写真以外にも、スマートフォンのアプリを通じて位置情報が記録される場合がありますので、アプリに割り当てられた権限を確認して、位置情報へのアクセスが許可されている場合は、意図したものであるかも含めて、注意して使用するようにしましょう。