LINE

FAQ

このたび、以下のFAQを追加しました。(2017年11月16日更新)
脆弱性報奨金のプログラムに関して不明なこと、気になることなどありましたら、FAQの内容をご確認ください。

Q1. LINE Security Bug Bountyプログラムを実施する目的はなんですか?
LINE株式会社の提供する「LINE」アプリをはじめとする各種サービス/アプリに存在する脆弱性を早期に発見し、利用者の皆様により安全なサービスを提供することが目的です。
Q2. 「LINE」アプリ(iOS版/Android版/Chrome版/Windows 10 Mobile版)とサイト(LINE STORE・LINE NEWS・LINE MUSIC・LINE LIVEの各Webサイト)以外の脆弱性を発見・報告した場合は、報奨金は支払われますか?
いいえ。現時点でのLINE Security Bug Bountyプログラムの報奨金の対象サービスは、「LINE」アプリ(iOS版/Android版/Chrome版/Windows 10 Mobile版)とサイト(LINE STORE・LINE NEWS・LINE MUSIC・LINE LIVEの各Webサイト)に限定しています。
限定以外の内容については、報奨金のお支払いは行いません。報奨金の対象については、詳細ページ(第3条)をご参照ください。なお、報奨金の対象サービスについては、検討の上、順次追加することがあります。
Q3. LINE Security Bug Bountyプログラムの実施期間は決まっていますか?
いいえ。本プログラムは、終了期限を決めず常時実施しており、いつでも脆弱性を報告していただくことができます。但し、予告なしにLINE Security Bug Bountyプログラムを中止する可能性がございます。予めご了承ください。
Q4. 報奨金の最高金額は決まっていますか?
いいえ。報奨金の最高金額は定めておりません。報告された脆弱性の深刻性や新規性等に基づき、弊社で検討の上、報奨金額を決定します。また、報告内容の質によっても、お支払いする報奨金額が変動する場合がございます。
Q5. 脆弱性を報告してから、審査完了までどれぐらいかかりますか?
ご報告を頂き次第速やかに内部での審査を開始いたしますが、審査完了までの期間は特に定めておりません。予めご了承ください。
Q6. 報告した脆弱性の内容をブログやSNSなどに公開しても良いですか?
LINE Security Bug Bountyプログラムの利用規約第10条に定めているとおり、当社からご連絡を差し上げるまでの間は、第三者に対する開示、漏洩、公表等はお控えください。万が一、同条に違反する行為が確認された場合は、報奨金をお支払いできない場合がございます。なお、「他の報告者と重複」、「社内で既知」等の理由でrejectされた場合(脆弱性には該当しますが、最終的な認定に至らなかったもの)についても同様に、修正完了まで公表はお控えいただけますようお願いいたします。
Q7. 報告した内容はどのように管理されていますか?
ご報告いただいた内容は、弊社内のサーバにおいて安全に保管され、弊社内関係者以外はアクセスすることができません。
Q8. 脆弱性を報告する際に専用アカウントの作成を要求されますが、専用アカウントを作成せずに報告することは出来ますか?
いいえ。専用アカウントを登録した上での報告のみ受け付けております。
Q9. LINE Security Bug Bountyプログラムで脆弱性として認定されないものには、どのようなものがありますか?
LINE Security Bug Bountyプログラムの利用規約第3条にて報奨金の対象にならない脆弱性の典型例を記載しております。また、これ以外にも、弊社の検討判断により報奨金の対象外とする場合もございます。予めご了承ください。
Q10. セキュリティ以外のバグや不具合の報告は受け付けていますか?
いいえ。セキュリティ上の問題に関係する内容のご報告のみ受け付けております。セキュリティ以外のバグや不具合に関するご報告はこちらからご連絡ください。
Q11. 報奨金はどのように受け取れるのでしょうか?
弊社内の審査にもとづき、報奨金の対象として認定された場合に、改めて受取方法についてご案内差し上げます。その後、振込口座等の必要情報を確認の上振り込みの処理を進めさせて頂きます。
Q12. 報奨金が認定されてから、実際に、報奨金を受け取るまでに、どのくらいの期間がかかりますか?
通常、1〜2ヶ月程度を目安としております。もっとも、日本国内以外の海外の方は、租税関係の手続きが必要になり、報酬金の受け取りまでに時間が掛かる場合があります。報奨金が認定されてから、報奨金が支払われるまでのフローについては、下記をご覧ください。 支払フロー

報告された脆弱性が認定された場合、報奨金を支払います。報奨金の支払の流れは以下のとおりです。

  1. 1. 報告者が脆弱性を報告します。
  2. 2. LINEの担当者が報告内容を審査します。
  3. 3. 報告された脆弱性が認定された場合は、報奨金について案内します。
  4. 4. 報告者が支払いに同意します。
  5. 5. 報告者が支払に必要な情報(※1)を提出します。(海外の方が租税対象の国の場合は、租税条約に関する届出書(※2)を提出する必要があります。)
  6. 6. LINEの担当者が書類を確認します。(租税関連書類は税務署の確認が必要ため 2ヶ月掛かる場合がある)
  7. 7. LINEが報奨金を支払します。

(※1)支払に必要な情報とは

振込みあるいは海外送金のための報告者の本人情報(住所、電話番号、本人名義の口座番号などを含む銀行情報、など)、 租税条約に関する届出書などを示します。

(※2)租税条約に関する届出書とは

[租税条約]とは、日本(源泉地国)と居住地国の両方からの二重課税の回避及び脱税の防止のため締結されている条約です。
居住地国の企業や個人が、日本(源泉地国)を通じて脆弱性を報告により発生した報奨金(得た所得)に対し、二重課税の回避を行うことができます。
居住地国と日本との間で租税条約が締結されている場合、LINE Security Bug Bounty Programに「租税条約に関する届出書」(サイン済み原本2部)を提出す
ることで租税条約が適用され日本において源泉徴収される所得税が軽減または免税を受けられることがあります。

Q13. 脆弱性を報告した本人以外でも、報奨金を受け取ることはできますか?
いいえ。LINE Security Bug Bountyプログラムの利用規約第6条のとおり、ご報告していただいたご本人様に対してのみ報奨金をお支払い致します。ご報告にかかる専用アカウント上にて確認させていただく、ご報告者様の名前と、振込先の銀行口座のお名前が一致しなければ、振り込み処理を行うことができません。なお、ご報告自体は、nicknameを使っても構いません。
Q14. 複数参加者から同一の脆弱性報告があった場合、全員に報奨金は支払われますか?
いいえ。複数参加者から同一の脆弱性報告があった場合は、最も早くご報告をいただいた参加者に対してのみ報奨金をお支払いいたします。
Q15. 脆弱性報告のため、登録したアカウントに設定したプロフィールは公開されますか?
いいえ。プロフィールは公開されません。(Hall of fameに掲載される場合は別途掲示に必要なプロフィール情報をおうかがいいたします。)
Q16. 2度目の報告をする場合には、1度目に作成した専用アカウントを利用することができますか?
はい。1度登録したアカウントは、2度目以降の報告の際にもご利用いただけます。
Q17. 2017/4/10よりプログラムの対象が拡大されましたが、理由、背景などはありますか
LINEサービスの成長に伴い、より安全なサービスを利用者の皆様に提供するため、プログラムの対象を拡大しました。
Q18. 今までのLINE Security Bug Bountyプログラムの運営結果などは公開していますか
以下のページにおいて、過去の運営結果を公開しています。
https://engineering.linecorp.com/ja/blog/detail/113
Q19. 報奨金は自分以外でも受け取ることができますか
いいえ。利用規約にも記載されていますが、報奨金は報告者本人である必要があります。(報告はnicknameを使っても構いません。)
Q20. 報奨金を寄付することは可能ですか
はい。報奨金の寄付についてはこちらに説明がありますが、当社から報奨金について案内を行う際に、寄付を選択することが可能です。