ネットサービスやアプリは便利だが、セキュリティ対策がどうなっているか気になる人も多いと思う。特に毎日使うメッセージングアプリなどはセキュリティ面でも安心して使えることが大事だろう。LINEは同社が提供する各サービスのセキュリティを高めるため、サービスの脆弱性を見つけて報告した者に対し、報奨金を支払う「LINE Security Bug Bounty Program」の認定対象を拡大したことを発表した。
この「バグ・バウンティ」とは、セキュリティの専門家やハッカーに脆弱性の報告を募り、重要度に応じて報奨金を支払う仕組みのことだ。世界中の専門家から脆弱性の報告を募ることができ、セキュリティの専門家を雇うより素早く、コストを抑えて脆弱性を見つけることができる。アメリカだとFacebookやGoogleらは自社でプログラムを開催しているし、Snapchat、Uber、任天堂などもバグ・バウンティの専用プラットフォームであるHackerOneを利用してプログラムを開催している。
LINEは2015年8月24日から9月23日にかけ、初めてバグ・バウンティ・プログラムを開催した。その後、2016年1月からは期間を限定せずに常時、脆弱性の報告を受け付けている。2017年3月末までに133件の脆弱性の報告があり、そのうち3名からあった5件の脆弱性の報告を認定した。また、他16名の報告に関しては対象範囲外だったが、サービスの安全性向上にとって有益な情報だったため「special contributors」に認定している。
これまでLINEのバグ・バウンティの対象となったのは、LINEアプリ(iOSとAndroid)のセキュリティに関する脆弱性だったが、本日より対象サービスをLINEのChrome版とWindows 10 Mobile版、そしてLINE STORE、LINE NEWS、LINE MUSIC、LINE LIVEの各ウェブサイトに広げた。脆弱性と認めた報告には新規性と重要度に応じて500米ドル(約5万5600円)から最大1万米ドル(約111万円)の報奨金が付与する。ちなみにHackerOneによると同社のバグ・バウンティで支払っている報奨金は平均500ドルで、これまでで最大の報奨金の支払いは3万ドルだったという。
日本ではLINEの他にサイボウズなども「サイボウズ脆弱性報奨金制度」を開催している。インターネットサービスのセキュリティを改善する仕組みとして日本でもバグ・バウンティ制度が少しづつ広まっているようだ。