ニュース: 2019年07月 の記事

  • 2019/07/26

    【修正済み】Memberユーザーがチャネルシークレットを取得できる不具合のお知らせ

    LINE Developersコンソールにおいて、Memberユーザーがチャネルシークレットを取得できる不具合が見つかり、修正いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。

    7月24日の時点でMemberユーザーが存在していたチャネルの管理者の方には、メールでも同様のご案内をしております。

    発生期間

    2017/09/21 ~ 2019/07/17

    状況

    Admin権限が付与されたユーザー(Adminユーザー)にしか表示されないチャネルシークレットを、Member権限が付与されたユーザー(Memberユーザー)が取得できる不具合がありました。

    具体的には、Memberユーザーが「チャネル基本設定」を確認した際、チャネルシークレットは表示されませんが、LINE Developersコンソールが呼び出しているAPIにチャネルシークレットが含まれていました。したがって、信頼できないユーザーをMemberユーザーにしていた場合は、チャネルシークレットが取得され、悪用されている可能性があります。

    tip チャネルシークレットとは

    チャネルシークレットは、LINEが提供するAPIを呼び出したり、署名を検証するために利用するための秘密鍵です。外部に漏えいしないように管理する必要があります。

    tip Memberユーザーができること

    本来、Memberユーザーは、チャネルの基本情報や統計情報のみを表示できるユーザーです。チャネルシークレットを取得できません。

    必要な対応について

    信頼できないMemberユーザーにチャネルシークレットが漏えいしている懸念がある場合は、チャネルシークレットを再発行してください。チャネルシークレットを再発行すると、漏えいしている懸念があるチャネルシークレットは無効化されます。

    なお、チャネルシークレットを再発行した場合は、そのチャネルシークレットを利用するアプリケーションを修正する必要があります。該当するチャネルを利用するサービスへの影響を十分に調査してから、チャネルシークレットを再発行してください。

    チャネルシークレットを再発行するには

    LINE Developersコンソールの「チャネル基本設定」で、チャネルシークレットを再発行できます。

    tip チャネルシークレットの強制再発行について

    LINEが強制的にチャネルシークレットを再発行することはありません。チャネルシークレットを再発行するかどうかは、各チャネルのAdminユーザーが判断してください。

    謝辞

    今回修正した不具合は、LINE Security Bug Bounty Programを通じて報告されました。

    LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。

  • 2019/07/18

    【回復済み】LINEログイン障害のお知らせ

    LINEログインにおいて以下の障害が発生しておりましたが、すべて回復いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。

    発生日時

    2019/07/18 09:38 ~ 10:40 JST(GMT+9)

    原因

    サーバー障害

    状況

    以下のアプリでのLINEログインに対するリクエストの一部で、ステータスコード500番台のエラーが発生していました。その結果、LINEログインが利用できない状況でした。

    • ウェブアプリ
    • デスクトップアプリ

    LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。

  • 2019/07/08

    Messaging APIに統計情報を取得するエンドポイントが追加されました

    Messaging APIに3つのエンドポイントが追加されました。これらのエンドポイントを使って、LINE公式アカウントの友だち数に関する情報を取得できます。

    このエンドポイントで取得できるデータは、LINE Official Account manager分析タブに表示される情報に基づいています。