ニュース

「LINE」で不審な“友だち追加/グループ招待”発生、10月下旬~11月初旬、12万人に影響

 LINEは、ユーザーの同意なく「不審なBotが友だちに強制追加される」「不審なBotからグループへ招待される」という事象が発生したことを明らかにした。

 10月27日20時~11月3日10時に発生したもので、影響を受けたユーザーは約12万人。その内訳は、日本が1万5527人、台湾が8万7191人、タイが2812人、インドネシアが7083人、その他が8595人となっている。

 LINEアカウントの情報が漏洩したり、アカウントが乗っ取られたりしたことはないが、一部のユーザーには大量にグループ招待が送られたという。

原因は「CLOVA専用アカウント」の悪用と脆弱性を報告する人のプロセス

 同社によれば、10月15日、LINEのバグ報告プログラムを通じて、とある不具合が報告された。

 これは、LINEのAIアシスタント「CLOVA Assistant」で、一部のAPIを使うと、友だちではないユーザーにグループ招待を送ったり、「CLOVA専用アカウント」を強制的に友だちに追加できるというもの。

 報告した人が、自身の管理していないアカウントを巻き込む形で、複数回に渡り脆弱性の検証を実施。詳細は調査中ながら、その報告者の検証行為のなかで、「脆弱性の再現方法が、複数のLINEユーザーに発見された」と同社では説明。

 つまり、バグを報告しようとした人が、関係ない人を巻き込んでバグを確認している中で、他の人に見つかってしまった、という形になる。その結果、11月2日、脆弱性が大規模な形で悪用された。

 LINEでは、不審なBotは削除し、脆弱性のあったAPIにバッチを適用。多くのグループ招待はキャンセルを適用した。ただし、すでに参加済みの場合は自動削除されず、ユーザー自身の手で退会処理する必要がある。

LINEが研究者、バグ発見者にお願い

 LINEでは、セキュリティ研究者はバグを発見するユーザーへの案内もあわせて掲出している。

 それは「報告された脆弱性が修正されるまで、時間がかかることもあるが、理解してほしいこと」「他人へ影響を与えないで検証すること」などとなっている。