LINE

プログラム情報

1. 1. プログラムの目的

   本プログラムは、コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することが目的です。

2. 2. 実施期間

   2016年6月2日（15時）より終了期限を設けず実施いたします。
   ※予告なく一時停止・終了する可能性があります。

3. 3. プログラムの流れ

   ※結果公開は、内部審査完了後に順次行います。
   • プログラム紹介
   • 脆弱性受付
   • 内部検討
   • 結果公開

4. 4. 対象

   １．コミュニケーションアプリ「LINE」の最新版
   
   • LINE for iOS（脆弱性報告時における最新版）
   • LINE for Android（脆弱性報告時における最新版）
   • LINE for Chrome（脆弱性報告時における最新版）
   • LINE for Windows 10 Mobile（脆弱性報告時における最新版）
   また脆弱性は、以下のドメインで発見されたものに限定します。
   • line-apps.com
   • line.me
   • line.naver.jp
   ２．WEBサイト
   
   • https://store.line.me/
   • https://news.line.me/
   • https://music.line.me/
   • https://live.line.me/
   LINE株式会社が運営しているLINE関連アプリ（LINE Family apps, LINE GAME apps等）は、本プログラムの対象外となります。
   細かな規定については、詳細ページ（第３条）に記載しています。
   （2017/4/10よりプログラムの対象を一部拡大しました。）
   本プログラムへの参加にあたり、下記の行為を禁止いたします。禁止行為に違反した場合には、報奨金の支払はいたしません。
   • 発見した脆弱性を利用して、他人のデータを閲覧、削除、変更、公開等する行為
   • 脆弱性自動 Scanner を用いた攻撃行為
   ※なお、当社に脆弱性を報告いただく際に、上記禁止行為を実施している場合には、脆弱性を報告いただくレポートにおいて必ずその旨を付記ください。

5. 5. 参加条件

   • 成年であること
   • 当社又は当社の関連会社の社員でないこと
   • 当社と連携して進行したプロジェクトを過去に遂行した、又は現に遂行している者でないこと
   • 日本語又は英語でのコミュニケーションが可能であること
   • 報奨金の支払時点において、日本、米国その他の国や地域の経済制裁措置の対象国に居住し、又は制裁対象企業若しくは個人に該当しないこと

6. 6. 報奨金

   脆弱性名	説明	参考金額
   SQL Injection	SQLインジェクションにより、個人情報閲覧が可能	USD 3,000
   Cross-Site Scripting (XSS)	XSSにより、sessionhijackやスクリプト実行が可能	USD 500
   Cross-Site Request Forgery (CSRF)	CSRFにより、ユーザが意図しない処理をさせることが可能	USD 500
   Remote Code Execution	クライアントあるいはサーバ側で任意コードを実行させることが可能	USD 10,000
   authentication bypass	認証をバイパスし、成りすましが可能	USD 5,000
   purchase bypass	課金をバイパスし、アイテムを購入可能	USD 5,000
   encryption break	暗号化された通信の解読により他人の認証情報が取得可能	USD 10,000
   Other	その他	USD 500

7. 7. 報奨金の対象にならない項目

   以下は、報奨金の対象にならない項目の典型例を記載しております。ただし、弊社の判断により報奨金の対象とするケースもございますので予めご了承ください。
   （１） 自動 scanner ツールで検出したものをそのまま報告した内容
   （２） 実際の検証コードがない仮説、又は理論上の内容
   （３） サービス拒否攻撃が可能であるという内容
   （４） パスワードあるいはトークンに対する総当たり攻撃が可能であるという内容
   （５） 任意の LINE 利用者にメッセージを送信することができるという内容
   （６） E メール検証不備、パスワードリセットリンクの有効期限、パスワード複雑度などのポリシーに関する内容
   （７） 重要処理ではない箇所におけるCSRFトークンの不在に関する内容
   （８） ログイン/ログアウトのCSRF
   （９） ユーザデバイスへの物理的なアクセスによる攻撃が可能であるという内容
   （１０） セキュリティヘッダの不在に関する内容
   （１１） LINE 利用者への影響がないスクリプト実行に関する内容
   （１２） 本プログラム対象以外から発見された内容
   
   • 例①：*.line.me、*.line-apps.com、*.line.naver.jp 以外から発見した内容
   • 例②：ios/android/Chrome/Windows 10 Mobile以外のプラットフォームから発見された内容
   • 例③：LINE関連アプリ（LINE Family apps、LINE Game apps）から発見された内容
   （１３） 古いブラウザやプラットフォームに起因する内容
   （１４） WEB の自動入力フォームに関する内容
   （１５） 重要ではない Cookie のセキュアフラグ属性の不在に関する内容
   （１６） 安全ではない SSL/TLS cipher suitesやプロトコルバージョンに関する内容
   （１７） Rooting デバイスでユーザデータにアクセスできる内容
   （１８） 誰でもURL経由でプロフィール写真、タイムライン写真等にアクセスが可能であるという内容
   （１９） 仮想電話番号の利用に起因する内容
   （２０） 報告の時点で当社に対し既に報告されている若しくは当社が既に把握している内容（LINEが定めた仕様に起因する内容を含む）又は既に公開されている内容
   （２１） サーバーのバナー情報に関する内容
   （２２） エラーメッセージによる情報に関する内容(スタックトレース、アプリケーションまたはサーバーのエラー)
   （２３） ドメインのSPFレコード、DMARC、DKIMの未設定に関する内容
   （２４） 不正なHTTPメソッドが使用可能な内容
   （２５） Clickjackingに関する内容、Tabjackingに関する内容、tabnabbingに関する内容、Text injectionに関する内容、Open redirectに関する内容
   （２６） 以下のような内容
   
   • 例①：クレジットカードや決済プラットフォームの払い戻し機能を利用したものに関する内容
   • 例②：端末上のファイルやデータベースを書き換えたり、通信経路上でのファイル改変によってアイテムを持っているように見せかけたりするものに関する内容

8. 8. プログラムの詳細について

   プログラムの詳細については、こちらをご参照ください。

報告＆審査について

脆弱性報告は、こちらのWEBフォームをご利用ください。
なお、脆弱性報告フォームのオープン期間は、2016年6月2日からとなります。
本プログラムでは、認定する脆弱性について対象とするサービスを規定しています。報告の際には、 詳細ページ（第３条第２項）の記載内容をご参照ください。

1. 1. 脆弱性の審査や注意事項について

   脆弱性の審査は、LINE株式会社が定めた基準によって審査されます。脆弱性として認めた場合は報告者にご連絡差し上げます。
   当社がすでに把握している脆弱性が報告された場合は、審査対象外となります。
   脆弱性情報を受理し、評価をする間に別の報告者から同一脆弱性が報告された場合は、はじめに報告された脆弱性が審査の対象になります。
   また、報告された脆弱性が以下のいずれに該当する場合は、一つの脆弱性として認定されます。
   
   • 一つのメソッドに対し、複数のパラメータに同様の脆弱性がある場合
   • 複数のドメインにわたって稼動するメソッドに対し、同一の脆弱性がある場合
   脆弱性が認められたあとは、報奨金が支払われるとともに、本人の同意を得て、近日掲載予定のHall of Fame（名前（あるいはNickName）、脆弱性名前）にて、公開することがあります。

2. 2. 本プログラムに関する問い合わせについて

   詳細ページ（第１７条）をご参照ください。

3. 3. 本プログラム対象外のサービスに関する脆弱性報告

   脆弱性報告フォームが利用できない場合や、本プログラム対象外のサービスに関する脆弱性報告は、以下のメールアドレスにご連絡ください。
   
   dl_bugreport@linecorp.com
   
   脆弱性報告フォーム以外からの報告は、原則として報奨金やHall of Fameの掲載の対象外となります。