LINE Developersコンソールにおいて、Memberユーザーがチャネルシークレットを取得できる不具合が見つかり、修正いたしました。お客様には多大なご迷惑をお掛けし、誠に申し訳ございませんでした。
7月24日の時点でMemberユーザーが存在していたチャネルの管理者の方には、メールでも同様のご案内をしております。
発生期間 2017/09/21 ~ 2019/07/17
状況 Admin権限が付与されたユーザー(Adminユーザー)にしか表示されないチャネルシークレットを、Member権限が付与されたユーザー(Memberユーザー)が取得できる不具合がありました。
具体的には、Memberユーザーが「チャネル基本設定」を確認した際、チャネルシークレットは表示されませんが、LINE Developersコンソールが呼び出しているAPIにチャネルシークレットが含まれていました。したがって、信頼できないユーザーをMemberユーザーにしていた場合は、チャネルシークレットが取得され、悪用されている可能性があります。
チャネルシークレットとは
チャネルシークレットは、LINEが提供するAPIを呼び出したり、署名を検証するために利用するための秘密鍵です。外部に漏えいしないように管理する必要があります。
Memberユーザーができること
本来、Memberユーザーは、チャネルの基本情報や統計情報のみを表示できるユーザーです。チャネルシークレットを取得できません。
必要な対応について 信頼できないMemberユーザーにチャネルシークレットが漏えいしている懸念がある場合は、チャネルシークレットを再発行してください。チャネルシークレットを再発行すると、漏えいしている懸念があるチャネルシークレットは無効化されます。
なお、チャネルシークレットを再発行した場合は、そのチャネルシークレットを利用するアプリケーションを修正する必要があります。該当するチャネルを利用するサービスへの影響を十分に調査してから、チャネルシークレットを再発行してください。
チャネルシークレットを再発行するには LINE Developersコンソール の「チャネル基本設定 」タブで、チャネルシークレットを再発行できます。
チャネルシークレットの強制再発行について
LINEが強制的にチャネルシークレットを再発行することはありません。チャネルシークレットを再発行するかどうかは、各チャネルのAdminユーザーが判断してください。
謝辞 今回修正した不具合は、LINE Security Bug Bounty Program (opens new window) を通じて報告されました。
LINEは今後もお客様への一層のサービス向上に取組んでまいります。何卒ご理解を賜りますよう、よろしくお願い申し上げます。