「LINE」にプロフ画像変更される脆弱性 - ゼロデイ攻撃被害も、利用者に確認呼びかけ

LINEは、利用者以外の第三者によってLINEアカウントのプロフィール画像が変更できる脆弱性が判明したとして修正を実施した。ゼロデイ攻撃が発生しており、意図しない画像へ変更されていないか利用者に確認するよう呼びかけている。

同社によれば、プロフィール画像を変更する際に使用する画像アップロード機能のAPIに、アクセス制御の脆弱性が存在したもの。

個人向けのLINEアカウントやLINE＠、LINE公式アカウント（プレミアムアカウント）などのプロフィール画像を、利用者とは関係ない第三者によって変更することが可能だったという。

同社が実施する報奨金プログラムを通じて、8月31日に報告が寄せられ、問題が発覚。同日18時過ぎに脆弱性の修正を完了した。

同脆弱性は、2019年5月17日より存在していたと見られる。脆弱性の影響は画像のアップロード機能に限られ、個人情報やパスワードが流出するおそれはないと説明している。

（Security NEXT - 2019/09/03 ） ツイート

PR

関連記事

「FortiManager」脆弱性、6月下旬より悪用 - 被害機器は50以上か
JAXAに不正アクセス - 攻撃起点はVPN、未知マルウェアも
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
「Ivanti Connect Secure」のゼロデイ脆弱性、侵害状況の確認を
「Proself」にゼロデイ攻撃、関係者情報が流出 - 日本学術振興会
「Citrix ADC」への攻撃、 米当局があらたな手口を公開
「Proself」に対するゼロデイ攻撃で情報流出被害 - 国立環境研究所
ゼロデイ攻撃で受信メールが流出した可能性 - 国立科学博物館