LY Corporation

LINE Security Bug Bounty Programの一時停止について

  1. 2025年12月3日より、本プログラムの内容および運用体制の見直し・改善を目的として、一時的に本プログラムを停止しております。
    プログラム停止中も、脆弱性のご報告については、 引き続きメール にて受け付けております。
  2. プライバシーに関する注意事項:ご報告者のメールアドレスは、報告内容の受領確認および連絡・調整の目的にのみ使用いたします。必要な範囲を超えた個人情報の記載はお控えください。
  3. 報告方法:ml-bug-report@lycorp.co.jp
  4. ご報告の前に、LY Corporation の利用規約およびプライバシーポリシーをご確認ください。
    なお、プログラム停止日以前に送信されたすべてのご報告については、送信時点で適用されていたプログラム規約に基づき対応いたします。

    報告対象から除外する脆弱性

    以下に該当する恐れがあると当社が判断する脆弱性については、報告対象外としています。

    •  自動スキャナで検出された結果そのままである脆弱性
    •  実際の検証コード(PoC)のない仮説上または理論上の脆弱性
    •  パスワードやトークンの取得を目的とした総当たり攻撃(ブルートフォースアタック)に対する脆弱性
    •  サービスの停止につながる可能性のあるリクエストフラッディングDoS攻撃やサーバーサイドDoS攻撃
    •  キャッシュポイズニングによるサービス拒否(DoS)
    •  LINEユーザーに対して任意のスパムメッセージを送信できる問題
    •  LINEアプリ上で以前のパスワードの確認なしにパスワードを変更できる問題
    •  セッション固定(Session Fixation)
    •  重要ではない処理におけるCSRFトークンの欠落
    •  ログイン/ログアウト時のCSRF
    •  ユーザーの端末への物理的なアクセスや、root化された端末を必要とする攻撃
    •  セキュリティヘッダの欠落
    •  ユーザーに影響を与えないスクリプト実行(Self-XSS等)
    •  古いブラウザやプラットフォームに起因する脆弱性
    •  Webフォームの自動入力に関連する内容
    •  重要ではないCookieにおけるSecure属性の欠落
    •  安全ではないSSL/TLS暗号スイートまたはプロトコルバージョン
    •  URLを介して誰でもプロフィール写真やVOOM写真等にアクセスできる問題
    •  仮想電話番号に起因する脆弱性
    •  ソフトウェアバージョン情報の開示 / バナー情報の特定 / 詳細なエラーメッセージやヘッダ(スタックトレース、アプリケーションエラー、サーバーエラー等)
    •  メールのベストプラクティスの欠如(SPF/DKIM/DMARCレコードの無効、不完全、または欠落等)
    •  許可されていないHTTPメソッドが使用可能であるという報告
    •  クリックジャッキング、タブジャッキング、タブナビング、テキストインジェクション、オープンリダイレクト、DNS CAAレコード、DNSSECレコードに関連する脆弱性の報告
    •  クレジットカードまたは決済プラットフォームの払い戻し機能に関する問題
    •  端末上のファイルやデータベースの上書き、または通信経路上のファイルを改ざんしてアイテムの所持を偽装する行為
    •  特定のブラウザや特定のバージョンにのみ影響する脆弱性
    •  ユーザー名やメールアドレスの列挙のみが可能な問題
    •  Google Maps APIキーの漏洩またはセキュリティ制御の欠如
    •  セキュリティへの影響がないAPIキーの漏洩
    •  livedoor.jpドメインに関するCNAMEレコードのサブドメイン乗っ取り報告(PoCなし)
    •  リンク切れハイジャック(ソーシャルメディアアカウント等)
    •  機微な情報の開示がないステータス監視ページ(例:Apacheサーバーステータスや内部メトリクス)
    •  HTTPリクエストスマグリング(HRS)および関連する非同期攻撃

    禁止事項

    以下の行為は禁止します。

    •  ポートスキャン行為。脆弱性診断は80番および443番ポートに対してのみ実施してください。
    •  自動化された脆弱性スキャナを使用して当社のシステムに攻撃を加える行為
    •  DoS攻撃など、サービスに過度な負荷をかける行為
    •  当社の資産またはデータセンターへの物理的な攻撃
    •  ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシング等)
    •  第三者の事前の同意を得ずに、その個人情報を含む脆弱性レポートを送信する行為
    •  当社の顧客、従業員、取引先、または当社サービスの提供に損害を与える行為
    •  不正取引(不正な課金処理や物品配送処理の操作など)を実施または助長する行為
    •  脆弱性の報告に必要な範囲を超えて、当社の顧客・取引先・従業員等に関する情報、または当社もしくは取引先の営業秘密に関する情報を抽出、改ざん、破壊、または第三者に開示する行為
    •  当社の利用規約や本ガイドラインに違反している、あるいはその恐れがあると当社が判断した場合、またはその他不適切であると判断した場合には、通信のブロックやアカウントの利用停止など必要な措置を講じる可能性があります。予めご了承ください。

    注意事項

    •  報告者は、当社の書面による事前の承諾がない限り、脆弱性に関する情報および脆弱性を利用して取得した情報を第三者に開示、漏洩してはならないものとします。
    •  報告者が脆弱性報告に関連して、当社の顧客・取引先・従業員等の個人情報、または当社もしくは取引先の営業秘密に関する情報を取得した場合は、直ちに当該情報(ログ等を含みますが、これに限定されません)を報告者が利用するすべてのシステムおよびデバイス上から削除してください。
    •  脆弱性の報告時には、報告者自身または第三者の個人情報を記載・送信しないようお願いいたします。
    •  報告された情報の取り扱いについて
    •  当社は、脆弱性報告に基づき必要な措置を講じるため、提供いただいた脆弱性報告の内容を、システムの提供元等の第三者に提供することがあります。
    •  当社は、報告者から収集した情報を安全に管理するため、セキュリティに最大限の注意を払っています。

    法的事項 (Safe Harbor)

    本ガイドラインに従って行われた行為は、その目的または態様が不当な場合を除き、当社によって許可された行為とみなされ、当社は報告者に対して法的措置を講じません。本ガイドラインに基づいて行われた行為に関連して、第三者から報告者に対して法的措置が取られた場合、当社は、報告者の行為が本ガイドラインに準拠して行われたものであることを周知させる措置、その他必要な措置を講じます。