LINE

LINE Security Bug Bounty プログラム

LINE 株式会社(以下「当社」といいます。)は、2016年6月2日から、当社のオンライン環境をより安全にするため、脆弱性の報告に対し、報奨金を支払う LINE Security BugBounty プログラム(以下「本プログラム」といいます。)を実施しています。 本プログラムに参加し報奨金を受け取るには、以下の内容(以下「本利用規約」といいます。)に同意する必要があります。なお、脆弱性の報告をされた方は、以下の内容に同意したものとみなされます。

  1. 第1条 (目的)
    本プログラムは、当社が本利用規約において指定するコミュニケーションアプリ「LINE」(以下「本アプリ」といいます。)の最新版及びWEBサイトに存在する脆弱性を早期に発見し、 LINE 利用者(本アプリの利用者をいい、以下同様とします。)がより安心できるサービスを提供することを目的としています。
  2. 第2条 (参加資格、参加方法等)
    1. 1.本プログラムに参加(以下、参加する者を「参加者」といいます。)するためには、以下の参加資格を満たす必要があります。
      1. (1) 成年であること
      2. (2) 当社又は当社の関連会社の社員でないこと
      3. (3) 当社と連携して進行したプロジェクトを過去に遂行した、又は現に遂行している者でないこと
      4. (4) 日本語又は英語でのコミュニケーションが可能であること
      5. (5) 報奨金の支払時点において、日本、米国その他の国や地域の経済制裁措置の対象国に居住し、又は制裁対象企業若しくは個人に該当しないこと
    2. 2.参加者が本プログラムに参加するためには、当社所定のウェブサイト(URL:https://bugbounty.linecorp.com/apply/)において、 脆弱性の報告のための当社所定のアカウント(以下「アカウント」といいます。)を作成する必要があります。アカウントの作成には、当社所定の情報の入力が必要です。
    3. 3.本プロラムへの参加のために参加者が要した費用については、全て参加者の負担とします。
    4. 4.当社は、本プログラムの運営上必要な連絡等を参加者に対して行う場合には、参加者が作成したアカウントへの連絡をもって、これを行うものとします。
  3. 第3条 (対象)
    1. 1.報奨金の対象となる当社のサービスは、以下のとおりとします。
      1. (1)以下の本アプリの最新版内で表示され、提供されるサービス
        • ・LINE for iOS(脆弱性報告時における最新版)
        • ・LINE for Android(脆弱性報告時における最新版)
        • ・LINE for Chrome(脆弱性報告時における最新版)
        • ・LINE for Windows 10 Mobile(脆弱性報告時における最新版)

        加えて、以下のドメインを有するものに限定します。

        • ・line-apps.com
        • ・line.me
        • ・line.naver.jp
      2. (2)以下のWEBサイト
        • ・https://store.line.me/
        • ・https://news.line.me/
        • ・https://music.line.me/
        • ・https://live.line.me/

      ただし、本アプリからリンクをクリックして別のプロセスとして起動する本アプリに関連するアプリ(LINE Family apps、LINE GAME apps等)は対象外となります。

    2. 2.報奨金の対象にならない脆弱性を、以下に例示(ただし、これらに限られるものではありません。)します。
      1. (1) 自動 scanner ツールで検出したものをそのまま報告した内容
      2. (2) 実際の検証コードが存在しない仮説、又は理論上の内容
      3. (3) サービス拒否攻撃が可能であるという内容
      4. (4) パスワード又はトークンに対する総当たり攻撃が可能であるという内容
      5. (5) 任意の LINE 利用者にメッセージを送信することができるという内容
      6. (6) E メール検証不備、パスワードリセットリンクの有効期限、パスワード複雑度等のポリシーに関する内容
      7. (7) 重要処理ではない箇所における Cross-site Request Forgery(以下「CSRF」といいます。)トークンの不在に関する内容
      8. (8) ログイン/ログアウトの CSRF
      9. (9) ユーザデバイスへの物理的なアクセスによる攻撃が可能であるという内容
      10. (10) セキュリティヘッダの不在に関する内容
      11. (11) LINE 利用者への影響がないスクリプト実行に関する内容
      12. (12) 本プログラム対象外のサービスから発見された内容
        1. - 例①:*.line.me、*.line-apps.com、*.line.naver.jp 以外から発見した内容
        2. - 例②:ios/android/Chrome/Windows 10 Mobile以外のプラットフォームから発見された内容
        3. - 例③:LINE 関連アプリ(LINE Family apps、LINE GAME apps)から発見された内容
      13. (13) 古いブラウザやプラットフォームに起因する内容
      14. (14) WEB の自動入力フォームに関する内容
      15. (15) 重要ではない Cookie のセキュアフラグ属性の不在に関する内容
      16. (16) 安全ではない SSL/TLS cipher suites やプロトコルバージョンに関する内容
      17. (17) Rooting デバイスでユーザデータにアクセスできるという内容
      18. (18) 誰でも URL 経由でプロフィール写真、タイムライン写真等にアクセスが可能であるという内容
      19. (19) 仮想電話番号の利用に起因する内容
      20. (20) 報告の時点で当社に対し既に報告されている若しくは当社が既に把握している内容(当社が定めた仕様に起因する内容を含む)又は既に公開されている内容
      21. (21) サーバーのバナー情報に関する内容
      22. (22) エラーメッセージによる情報に関する内容(スタックトレース、アプリケーション又はサーバーのエラー)
      23. (23) ドメインの SPF レコード、DMARC、DKIM の未設定に関する内容
      24. (24) 不正な HTTP メソッドが使用可能であるという内容
      25. (25) Clickjackingに関する内容、Tabjackingに関する内容、tabnabbingに関する内容、Text injectionに関する内容、Open redirectに関する内容
      26. (26) その他、当社が報奨金支払の対象に該当しない脆弱性と判断する内容
        1. - 例①:クレジットカードや決済プラットフォームの払戻し機能を利用したものに関する内容
        2. - 例②:端末上のファイルやデータベースを書き換えたり、通信経路上でのファイル改変によってアイテムを持っているように見せかけたりするものに関する内容
  4. 第4条 (期間)
    1. 1.本プログラムは、原則2016年6月2日から終了期間を設けずに実施します。ただし、当社の都合により予告なしに、本プログラムの実施を中止する場合があります。
    2. 2.前項により当社が本プログラムの実施を中止した場合であっても、当社が参加者から既に受領済みの脆弱性については、当社が引き続き検討・審査するものとし、参加者は当該結果が出るまでの間は、本プログラムの参加者としての地位を有します。
  5. 第5条 (報告)
    参加者は、参加者が作成したアカウントにより、脆弱性の報告をするものとします。アカウント以外の方法による報告は、報奨金支払の対象となりません。
  6. 第6条 (報奨金)
    1. 1.当社は、当社の裁量により、報告された脆弱性の深刻性、新規性等に基づき報奨金額を決定します。報奨金額の目安については、以下の表をご参照ください。
      脆弱性 説明 参考金額*
      SQL Injection SQL インジェクションにより、個人情報閲覧が可能 $3,000
      Cross-Site Scripting(XSS) XSS により、sessionhijack やスクリプト実行が可能 $500
      Cross-Site Request Forgery(CSRF) CSRF により、LINE 利用者が意図しない処理をさせることが可能 $500
      Remote Code Execution クライアント又はサーバー側で任意コードを実行させることが可能 $10,000
      Authentication Bypass 認証をバイパスし、成りすましをすることが可能 $5,000
      Purchase Bypass 課金をバイパスし、アイテムを購入することが可能 $5,000
      Encryption Break 暗号化された通信の解読により、他人の認証情報が取得可能 $10,000
      Other その他 $500

      ※報奨金の金額は目安となる金額を表示したものであって、対応する脆弱性に関して記載の報奨金額が保証されるものではありません。

    2. 2.類似する脆弱性の報告を受けた場合、当社が同一の脆弱性と判断するもの(以下を含みますがこれらに限りません。)については同一の脆弱性とみなすものとします。
      1. (1) 一つのメソッドに対し、複数のパラメータに同様の脆弱性がある場合
      2. (2) 複数のドメインにわたって稼動するメソッドに対し、同一の脆弱性がある場合
    3. 3.複数参加者から同一の脆弱性報告があった場合、当社が初めに報告の受領をした参加者に対してのみ報奨金が支払われるものとします。
    4. 4.当社は、参加者が脆弱性の報告をし、当該報告が報奨金の対象となる場合には、対象参加者に対してその旨連絡をするものとします。
    5. 5.参加者は、以下の方法により報奨金を受け取ることができます。参加者は、当社から参加者のアカウントに対して、 当社所定の報奨金支払に必要な有効かつ真実の情報の全て(以下「必要情報」といいます。)の提出の依頼に係る連絡が行われた場合には、かかる情報を速やかに当社に対し提供するものとします。 当社からのかかる情報提供依頼から1ヶ月以内に当該情報の提供をしない場合、当該参加者は、報奨金を受領する権利を放棄したものとみなします。なお、振込に掛かる振込手数料は、当社負担とします(以下、本条について同じ。)。
      1. (1) 日本の銀行口座を保有する参加者報奨金額を、日本円で、日本の銀行口座へ振り込む方法により支払うものとします。 当社は、日本円換算額の計算にあたり、参加者が当社に対して報奨金の対象となる報告を行った日が属する月の末日における当社所定の換算レートを適用します。 当該期日が日曜祝祭日の場合は、前営業日の為替レートを適用(1円未満切捨て)します。
      2. (2) 外国の銀行口座を保有する参加者報奨金額を、米ドルで、外国の銀行口座へ振り込む方法により支払うものとします。
    6. 6.報奨金受領に必要な銀行口座は、参加者本人のものに限り、口座名義人の氏名が前項に規定した必要情報における氏名と同一のものに限ります。
    7. 7.当社は、参加者に対する報奨金の支払にあたり、法律により源泉所得税が発生する場合、報奨金から所得税を差し引いた金額を参加者に対して支払います。
    8. 8.当社が参加者のアカウント、又は同アカウントに登録された Email アドレス宛にメッセージを送信したにもかかわらず30日間返信がなかった場合(Email アドレスの入力間違い等、あらゆる場合を含みます。)、 又は当社が第4項に基づき参加者から受領した情報をもとに適切に送金手続を行ったにもかかわらず参加者が全部又は一部の報奨金を受領できなかった場合(必要情報の間違い、銀行システムの障害、参加者が経済制裁対象者に該当する等、あらゆる場合を含みます。)には、 当社の当該報奨金の支払義務は消滅するものとします。
    9. 9.参加者は、報奨金を受領する権利を第三者に移転し、譲渡し、又は担保に供してはなりません。
    10. 10.参加者が本利用規約に違反している事実が明らかになった場合、当社は、当該参加者に対し、報奨金の支払を拒み、又は支払済みの報奨金の返還を求めることができます。
  7. 第7条 (禁止事項)
    1. 1.参加者は、以下の行為を行ってはなりません。
      1. (1) 他人の権利を侵害する行為、その他法令に違反する行為
      2. (2) 当社のサービスに負荷を与える Dos(サービス運用妨害)攻撃
      3. (3) 脆弱性自動 Scanner を用いた攻撃
      4. (4) 任意の LINE 利用者にメッセージを送信する Spamming(スパム)行為
      5. (5) 当社の資産又はデータセンターに対する物理的な攻撃
      6. (6) 発見した脆弱性を利用して他人のデータを閲覧、削除、変更、公開する行為
      7. (7) 発見した脆弱性を利用してソースコード等を閲覧、削除、変更、公開する行為
      8. (8) 脆弱性の検証および脆弱性の報告にあたり他人の権利を侵害する行為
      9. (9) 前各号の他、本プログラムの目的に照らして、その趣旨に反する行為
    2. 2.参加者が前項に違反した場合には、当社は、当該参加者の本プログラムへの参加資格を剥奪することができます。
  8. 第8条 (権利)
    1. 1.参加者は、本プログラムへの参加に必要な範囲で、本アプリの改変・加工・複製等の利用権を有するものとします。
    2. 2.参加者が、脆弱性を検証又はその改修方法を検討するにあたり、発明・考案・意匠の創作・著作等(以下「発明等」といいます。)を行った場合、 発明等に係わる産業財産権等の登録出願権及び著作権(著作権法第27条及び第28条に規定する権利を含みます。)等、 全ての権利は、参加者が作成したアカウントを通じた脆弱性の当社に対する提出と同時に当社に移転するものとし、当社は当該権利を自由に行使及び処分することができるものとします。
    3. 3.発明等が著作物である場合には、参加者は当該著作物に係わる著作者人格権を当社及び当社が指定した者に対して主張及び行使しないものとします。
    4. 4.参加者が報告した脆弱性情報に、第三者が提供するサービスまたは製品(以下「外部製品」といいます。)の脆弱性情報が含まれる、または外部製品との組み合わせによって脆弱性が発生していると当社が判断した場合、当社は参加者の同意を得ることなく、外部製品提供元または脆弱性情報に関連する行政機関等に脆弱性情報を提供することができるものとします。報告内容に参加者による発明等が含まれる場合、外部製品に対する発明等に関する権利は当社に移転せず、引き続き参加者が保有するものとし、当社は当社の提供するサービスまたは製品の改修に必要な範囲で外部製品に対する発明等を自由に利用できるものとします。
  9. 第9条 (秘密情報の取扱い)
    1. 1.参加者は、脆弱性情報を秘密情報として取り扱うものとし、本プログラムの期間中だけでなく、本プログラムの終了後においても、当社が当該脆弱性の改修を完了し公表を行うまでの間、第三者に対して、開示、漏洩、公表等はできません。 なお、関連脆弱性(参加者が報告した脆弱性と関連する、又はこれと同種の脆弱性であって、未だ当社による手当てが済んでいないもの)の存在により LINE 利用者への被害が想定される等当社が特に機密と指定した情報(具体的な攻撃手段等)が存在する場合、 参加者は、当該機密情報につき開示、漏洩、公表等はできません。
    2. 2.前項の場合であっても、当社による脆弱性の報告受領から1年が経過した場合はこの限りではありません。
    3. 3.本条の他の定めにかかわらず、脆弱性が、外部製品に起因する場合(8条4項に該当する場合)であって、本アプリ以外にも影響が及ぶ場合など、公益性を優先するべき合理的な事情がある場合、参加者は当社による脆弱性の改修状況に関わらず、外部製品提供元等に対する脆弱性情報の提供、開示および公表ができるものとします。かかる場合、参加者は当社および本アプリの匿名化を含む、当社や本アプリ利用者の利益が害されないよう合理的な措置をとるものとします。
  10. 第10条(個人情報の取扱い)
    1. 1.当社は、参加者のプライバシーを尊重しています。
    2. 2.当社は、本プログラムにおいて、参加者から取得した個人情報をご本人確認、ご連絡、審査、支払、不正利用防止、本プログラムの円滑利用、その他本プログラムに必要な事務処理のために利用いたします。その他取扱いは、LINE プライバシーポリシーに従います。
    3. 3.当社は、参加者から収集した情報を安全に管理するため、セキュリティに最大限の注意を払っています。
    4. 4.当社は、参加者から受領した個人情報を、参加者が自身のアカウントに最後にログインした日から1年間保存するものとします。
  11. 第11条(退会)
    1. 1.参加者が本プログラムから退会を希望する場合には、参加者のアカウントから当社に対して退会の申出を行うものとします。
    2. 2.当社は、参加者から前項に従い退会の申出を受領した場合には、当該参加者を退会処理するものとし、併せて、参加者から受領した個人情報を破棄するものとします。
    3. 3.当社は、参加者が自身のアカウントに最後にログインした日から1年間同アカウントへのログインを行わなかった場合には、当該参加者を退会処理するものとします。
    4. 4.当社は、参加者が本規約第7条に定める禁止事項に違反した場合、又は違反のおそれがあると認めた場合には、当該利用者を退会処理することができるものとします。
  12. 第12条(Hall of Fame)
    1. 1.報奨金の対象となる脆弱性を報告した参加者は、当社の Hall of Fame に名前や写真等(以下「参加者情報」といいます。)を載せることができます。 参加者は、当社に提供する参加者情報が、第三者の著作権、商標権等の知的財産権を含む一切の権利を侵害しないことを表明し、保証するものとします。 また、当該参加者情報の Hall of Fame への掲載可否の判断は当社の裁量により行うものとします。
    2. 2.参加者は、参加者情報の Hall of Fame への掲載に起因して第三者からクレーム、主張、要求、請求、異議等(以下「クレーム等」といいます。)を受けた場合、 自らの費用と責任で当該クレーム等を処理解決するものとし、当該クレーム等に関連して当社が損害を被った場合には、その全ての責任を直ちに賠償する責任を負うものとします。 なお、当社が当該クレーム等を処理解決した場合には、その処理解決に要した全ての費用は、参加者が負担するものとします。
  13. 第13条(免責)
    1. 1.参加者は、参加者自身の責任のもとで本プログラムに参加するものとし、本プログラムへの参加によって生じた損害について、当社は一切の責任を負いません。
    2. 2.本プログラムに関わる参加者間または第三者との紛争について、当社は一切関与せず、参加者は自己の責任と負担において、当該紛争を解決するものとします。
  14. 第14条(本規約の変更)
    1. 1.当社は、事前の通知をすることなく、本規約の内容を改定する場合があります。
    2. 2.前項により当社が本規約を改定した場合には、参加者が本プログラムに引き続き参加することをもって当該改定に同意したものとみなし、改定後の利用規約が適用されます。
  15. 第15条(言語及び標準時)
    1. 1.本規約は、日本語版を正文とし、日本語版と英語版の解釈が異なる場合は日本語版が優先するものとします。
    2. 2.本プログラムに関連して使用する日付及び時間は、特別の定めのない限り、日本国における日付及び時間を基準とします。
  16. 第16条(準拠法及び専属的合意管轄)
    本規約は、日本法に準拠して解釈されるものとし、本プログラムへの参加に起因又は関連して参加者と当社との間に生じた紛争については、東京地方裁判所又は東京簡易裁判所を第一審の専属的合意管轄裁判所とします。
  17. 第17条 (本プログラムに関する問い合わせ)
    本プログラムは、当社が運営しています。脆弱性の報告以外の本プログラムにおける全てのお問い合わせは、以下のフォームから受け付けます。それ以外の方法によるお問い合わせは受け付けません。
    https://contact.line.me/detailId/10560 (例:サービス:「LINE」を選択 / カテゴリ:「その他」を選択 / 詳細:「キャンペーン」を選択)
  18. 2017年6月9日最終改定