LINEヤフー、不正アクセスで30万件超の情報漏洩 委託企業のPCがマルウェアに感染

LINEヤフーは11月27日、第3者による不正アクセスを受け、ユーザー情報・取引先情報・従業者等に関する情報の漏えいがあることが判明したと発表した。可能性も含み、漏洩が確認されたユーザーに関する個人情報は30万2569 件で、対象者には個別に連絡するとしている。不正アクセスの経路と推測されるシステムからは、すでに自社各サーバーへのアクセスは遮断しており、ユーザーおよび関係者に謝罪の意を表明するとともに、再発防止に努める考えを示した。

LINEヤフーは、第3者の不正アクセスによる、ユーザー情報・取引先情報・従業者等に関する情報漏洩が判明したとし、被害状況、経緯や対処法を公開した。

今回の不正アクセスは、LINEヤフーの関係会社である韓国のNAVER Cloud社の委託先であり、LINEヤフーの委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となった。委託先企業に、NAVER Cloud社とLINEヤフーの従業者情報を扱う共通の認証基盤で管理している旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日にLINEヤフーのシステムへ第3者による不正アクセスが行われた。

10月17日にシステムへの不審なアクセスを検知し、分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したとしている。LINEヤフーでは、被害状況の把握と拡大の抑止の対応を実施し、関係省庁には適宜状況の報告を行っている。

今回の事象により、可能性も含み漏洩が確認できたユーザーに関する個人情報は、30万2569件(うち日本ユーザー12万9894件)で、口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は含まれない。

取引先等に関する個人情報は、取引先等のメールアドレス8万6071件、取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等34件の漏洩が確認された。従業員等に関する個人情報は、ドキュメント管理システム内の従業者等に関する個人情報6件、認証基盤システム内の従業者等に関する個人情報5万1347件(LINEヤフーおよびグループ会社3万409件、NAVER社およびグループ会社2万938件)の漏洩が確認された。

11月27日より、ユーザーおよび従業員等への通知を開始しており、2次被害の恐れがあると評価したユーザーには個別連絡を行う。それ以外の取引先を含む、連絡可能な顧客に対しても個別の連絡の実施を予定している。該当の既存ユーザー、および現時点で退会されているユーザー、取引先には、登録されているメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別に案内を行う。該当する自社従業者には、本事案の説明を実施する。

すでにLINEヤフーにてアクセス遮断などの処置を実施しており、ユーザーが対応する事項はないとし、詐欺やフィッシングなどの可能性があることから、LINEヤフーを装ったメッセージ等に注意するよう呼びかけた。

今後、LINEヤフーは、旧LINEの社内システムで共通化している NAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化するとしている。さらに事象の契機となった、委託先の安全管理措置の是正に取り組むとした。

これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していくとし、ユーザーおよび関係者に謝罪の意を表明するとともに、再発防止に努めていく考えを示した。