# ニュース: 2019年7月 の記事

【修正済み】Memberユーザーがチャネルシークレットを取得できる不具合のお知らせ

LINE Developersコンソールにおいて、Memberユーザーがチャネルシークレットを取得できる不具合が見つかり、修正いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。

7月24日の時点でMemberユーザーが存在していたチャネルの管理者の方には、メールでも同様のご案内をしております。

# 発生期間

2017/09/21 ~ 2019/07/17

# 状況

Admin権限が付与されたユーザー(Adminユーザー)にしか表示されないチャネルシークレットを、Member権限が付与されたユーザー(Memberユーザー)が取得できる不具合がありました。

具体的には、Memberユーザーが「チャネル基本設定」を確認した際、チャネルシークレットは表示されませんが、LINE Developersコンソールが呼び出しているAPIにチャネルシークレットが含まれていました。したがって、信頼できないユーザーをMemberユーザーにしていた場合は、チャネルシークレットが取得され、悪用されている可能性があります。

チャネルシークレットとは

チャネルシークレットは、LINEが提供するAPIを呼び出したり、署名を検証するために利用するための秘密鍵です。外部に漏えいしないように管理する必要があります。

Memberユーザーができること

本来、Memberユーザーは、チャネルの基本情報や統計情報のみを表示できるユーザーです。チャネルシークレットを取得できません。

# 必要な対応について

信頼できないMemberユーザーにチャネルシークレットが漏えいしている懸念がある場合は、チャネルシークレットを再発行してください。チャネルシークレットを再発行すると、漏えいしている懸念があるチャネルシークレットは無効化されます。

なお、チャネルシークレットを再発行した場合は、そのチャネルシークレットを利用するアプリケーションを修正する必要があります。該当するチャネルを利用するサービスへの影響を十分に調査してから、チャネルシークレットを再発行してください。

# チャネルシークレットを再発行するには

LINE Developersコンソールの「チャネル基本設定」で、チャネルシークレットを再発行できます。

チャネルシークレットの強制再発行について

LINEが強制的にチャネルシークレットを再発行することはありません。チャネルシークレットを再発行するかどうかは、各チャネルのAdminユーザーが判断してください。

# 謝辞

今回修正した不具合は、LINE Security Bug Bounty Programを通じて報告されました。

LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。

【回復済み】LINEログイン障害のお知らせ

LINEログインにおいて以下の障害が発生しておりましたが、すべて回復いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。

# 発生日時

2019/07/18 09:38 ~ 10:40 JST(GMT+9)

# 原因

サーバー障害

# 状況

以下のアプリでのLINEログインに対するリクエストの一部で、ステータスコード500番台のエラーが発生していました。その結果、LINEログインが利用できない状況でした。

  • ウェブアプリ
  • デスクトップアプリ

LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。

Messaging APIに統計情報を取得するエンドポイントが追加されました

Messaging APIに3つのエンドポイントが追加されました。これらのエンドポイントを使って、LINE公式アカウントの友だち数に関する情報を取得できます。

このエンドポイントで取得できるデータは、LINE Official Account manager分析タブに表示される情報に基づいています。