# ニュース: 【修正済み】Memberユーザーがチャネルシークレットを取得できる不具合のお知らせ

【修正済み】Memberユーザーがチャネルシークレットを取得できる不具合のお知らせ

LINE Developersコンソールにおいて、Memberユーザーがチャネルシークレットを取得できる不具合が見つかり、修正いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。

7月24日の時点でMemberユーザーが存在していたチャネルの管理者の方には、メールでも同様のご案内をしております。

# 発生期間

2017/09/21 ~ 2019/07/17

# 状況

Admin権限が付与されたユーザー(Adminユーザー)にしか表示されないチャネルシークレットを、Member権限が付与されたユーザー(Memberユーザー)が取得できる不具合がありました。

具体的には、Memberユーザーが「チャネル基本設定」を確認した際、チャネルシークレットは表示されませんが、LINE Developersコンソールが呼び出しているAPIにチャネルシークレットが含まれていました。したがって、信頼できないユーザーをMemberユーザーにしていた場合は、チャネルシークレットが取得され、悪用されている可能性があります。

チャネルシークレットとは

チャネルシークレットは、LINEが提供するAPIを呼び出したり、署名を検証するために利用するための秘密鍵です。外部に漏えいしないように管理する必要があります。

Memberユーザーができること

本来、Memberユーザーは、チャネルの基本情報や統計情報のみを表示できるユーザーです。チャネルシークレットを取得できません。

# 必要な対応について

信頼できないMemberユーザーにチャネルシークレットが漏えいしている懸念がある場合は、チャネルシークレットを再発行してください。チャネルシークレットを再発行すると、漏えいしている懸念があるチャネルシークレットは無効化されます。

なお、チャネルシークレットを再発行した場合は、そのチャネルシークレットを利用するアプリケーションを修正する必要があります。該当するチャネルを利用するサービスへの影響を十分に調査してから、チャネルシークレットを再発行してください。

# チャネルシークレットを再発行するには

LINE Developersコンソールの「チャネル基本設定」タブで、チャネルシークレットを再発行できます。

チャネルシークレットの強制再発行について

LINEが強制的にチャネルシークレットを再発行することはありません。チャネルシークレットを再発行するかどうかは、各チャネルのAdminユーザーが判断してください。

# 謝辞

今回修正した不具合は、LINE Security Bug Bounty Program (opens new window)を通じて報告されました。

LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。