LINEで発生した情報漏洩のまとめ

LINEで発生した情報漏洩のまとめ

2024年11月28日に発生したLINEのアルバム機能の不具合により、他の利用者の画像が誤って表示される問題が発生しました。

この問題により国内外で推定約13万5千人の利用者の画像が流出する可能性が生じました。LINEは日本国内において身近なコミュニケーションツールであり今回報じられた写真流出について驚かれた方も多いかと思います。

今回の記事では、アルバム画像の流出やそのほかのLINEの情報漏洩について触れたいと思います。

LINE アルバム画像流出

概要

LINEヤフーは2024年12月5日に、11月28日に発生したLINEのアルバム機能の不具合について、他のユーザーの写真が誤って表示される不具合の影響を受けたユーザー数が国内外で13万5千人に上ることを発表しました。

原因

今回のアルバム機能の不具合については、LINEのアルバムのサムネイル画像を作成するシステムのアップデート時に、同システムに関するプログラムの不備により発生したと発表されています。

LINEのアルバムでは、画像を長期保存するため、投稿から35日以上経過した画像を圧縮変換して保存しており、この圧縮したアルバムの画像をサムネイル画像に変換する工程で、処理が集中した際に、画像のデータが混在した状態で変換処理が行われたため、他のユーザーの画像が混在したサムネイルが表示されてしまったとのことです。

なお、今回の不具合の原因となったサムネイル画像を作成するシステムでプログラム不備のあった機能は、アルバムにおいてのみ利用しているため、今回の不具合はアルバムのサムネイル画像にのみ影響し、アルバム内の元の画像やアルバム以外のサービスでの画像の閲覧には影響がないと公表しています。

経緯と対応状況(2024年12月12日時点)

2024年11月28日 15時35分:本不具合の原因が含まれたシステムのアップデートを順次開始
2024年11月28日 17時50分:当該システムアップデートの順次反映に伴い、トラフィックが一定規模を超えてしまい、本不具合が発生
2024年11月28日 22時09分:社内にて本不具合を検知
2024年11月28日 23時15分:新たな不具合が発生しないよう当該システムを修正
2024年11月29日  6時00分:上記の修正対応前に、本不具合が発生したユーザーに対して、端末内のキャッシュによりサムネイル画像が誤表示されないようにするためにシステムを修正し、順次反映を開始
2024年11月29日 15時31分:ユーザーの端末内のキャッシュを削除するデスクトップ(Windows)の新しいバージョンをリリース
2024年11月29日 16時05分:ユーザーの端末内のキャッシュを削除するAndroidの新しいバージョンをリリース
2024年11月30日  1時14分:前日6時より行っていたシステムの修正が全ユーザーに反映され、本不具合が解消
2024年12月2日  8時11分:ユーザーの端末内のキャッシュを削除するiOSの新しいバージョンをリリース
2024年12月3日  10時10分:ユーザーの端末内のキャッシュを削除するデスクトップ(macOS)の新しいバージョンをリリース
2024年12月6日 15時00分:本不具合の対象となった可能性がある日本国内ユーザーへLINE上で順次連絡
2024年12月12日 18時00分:本不具合の対象となった可能性がある日本を除く海外ユーザーへLINE上で順次連絡

国の対応状況

今回の問題を受けて、総務省は12月3日にLINEヤフーに対し原因や被害状況などの事実関係の確認を求めていることを明らかにしました。

総務省によると、今回の事案は電気通信事業法などで事業者に30日以内の詳細な報告を義務づけている「通信の秘密の漏洩」にあたるとしています。なお、LINEヤフーによると、今回の不具合は11月28日に発生し、同月30日には解消したと発表しています。

漏洩件数

今回の問題により、他のユーザーの写真が誤って表示される不具合の影響を受けたユーザー数は国内外で下記の約13万5千人に上ると発表しています。

    • 他のユーザーのアルバムのサムネイルに、自分のアルバムのサムネイルが表示されたユーザー
      日本国内 約7万人(海外を含めると約13.5万人)と推定
    • 自分のアルバムのサムネイルに、他のユーザーのアルバムのサムネイルが表示されたユーザー
      日本国内 約5.5万人(海外を含めると約11.4万人)と推定

    LINE、52万件のLINE利用者の個人情報や従業員の情報流出

    概要

    LINEヤフー株式会社は2023年10月にヤフー株式会社とLINE株式会社などが再編されて誕生しました。位置づけとしては、ソフトバンクと韓国・ネイバーの合弁企業であるAホールディングスの子会社です。合併後の同年11月にLINEヤフーのサーバーがサイバー攻撃を受け約44万件の個人情報が流出した可能性がある旨の公表がありました。

    合計約52万件の情報が漏洩

    その後の同年12月には、11月に公表していたサイバー攻撃の時期が約1カ月前だったと訂正すると共に、不正アクセスできる状態が約1カ月続いていたことも判明しました。

    さらに2024年2月にも旧LINEの従業員情報約5万7000件が流出した可能性があると公表しました。

    また、2023年11月時点で約44万件としていた流出件数は約52万件に増えたことも明らかにしています。

    なお、流出した恐れのある44万件の個人情報のうち約30万件は利用者に関するものであり、流出した情報の中には解析すればアプリのプロフィル情報にある氏名などを第三者が閲覧できる可能性があります。また、利用者の性別やLINEスタンプの購入履歴なども流出しました。なお、LINE内のメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないとしています。

    情報漏洩の原因

    今回の問題は、日本のLINEヤフーと韓国のNAVER Cloud Corporationが関係しており、両社は従業員や人事データ用の社内ネットワークを共有しており、さらに一部のユーザー情報も接続していました。NAVERの下請け業者が所有するマルウェアに感染したコンピュータが共有データベースにアクセスし、会社と関連システムがサイバーリスクにさらされたとしています。LINEヤフー は「不正アクセスの可能性が高い」と公表しています。

    LINEヤフーは2023年10月中旬に不審なアクセスを検知した後、ネイバーと共通化する認証基盤から旧LINEサーバーへのアクセスを遮断し、アクセス権がある社員に再ログインの強制実施やパスワードの変更を促しました。

    情報漏洩の経緯

    2023 年10月9日頃にLINEヤフーのサーバーへの不正アクセスが、関連会社の感染したコンピューターから発生しました。

    そして、10 月 17 日頃、当局はネットワーク内で不審な活動に気づき、調査を開始しました。最初の調査は 10 日後に終了し、不正アクセスが確認され、アクセス防御に関する計画の促進が行われました。1 か月後の 11 月 27 日頃にLINEヤフーは関係者、ユーザー、従業員、その他の担当者に通知を開始しました。

    国の対応状況

    総務省は2024年3月5日にLINEヤフーに対し行政指導を行ったことを発表しました。同社が提供する「LINE」サービス利用者の通信情報や旧LINEの従業員情報が流出するなど度重なる情報漏洩事案に対し、再発防止など必要な措置を講じると共に、その実施状況の報告などを求めました。今回の行政指導において、LINEヤフーは情報技術インフラの保守・運用を韓国企業ネイバーに外注するなど、同社に大きく依存していると指摘しました。

    LINEヤフーは2024年4月1日に国交省に提出した報告書で、2026年12月までにネイバーのコンピューターシステムからの分離を完了し、ネイバーとの資本関係の見直しを要請したとしています。当時、LINEヤフー代表の松本氏は国交省が報告書を精査し、必要であれば追加措置を講じると述べていました。

    LINEヤフーの報告を受けて、同省は、LINEヤフーが2024年4月初めに提出した予防措置に関する報告書が不十分であると判断し、再検討を指示しました。

    漏洩件数

    LINEの利用者や従業員の約52万件の情報流出

    LINE 中国からのサイバー攻撃

    概要

    2021年3月に中国の業務委託先企業から日本人ユーザーデータにアクセスできるようになっていたことが発覚しました。期間としては2018年8月から2021年2月まで中国の関連会社の従業員が国内サーバーにある個人情報にアクセス可能な状態でした。個人情報には氏名、電話番号などのほか、通報内容にあたる「トーク」機能内や利用者が保存したメッセージ、画像も含まれていました。

    原因

    中国の業務委託先はゲームプラットフォームの開発などを行っていました。LINEのシステムメンテナンスを担当する中国企業のエンジニア4人が、2018年からユーザーの名前、電話番号、メールアドレスが保存された日本のサーバーへのアクセスを許可されていました。LINEは業務に必要な範囲でアクセス権限をつけて管理していたと説明しています。

    旧ヤフー 約410万件のIDの位置情報を韓国ネイバーに提供

    概要

    旧ヤフーは2023年5月18日から7月26日の期間に、検索エンジン開発の一環として、韓国のIT大手であるネイバーに約410万件のユーザーの位置情報を提供していました。この提供に関しては、ユーザーへの事前周知が不十分で、安全管理措置にも不備があったとして、総務省から行政指導を受けました。

    総務省は、ヤフーに対して、次の改善を求めました。

    • ユーザーへの適切な周知
    • ガバナンスの見直し
    • 不同意時の手段の提供
    • 安全管理措置の導入
    • 感知体制の構築
    • 取得する情報の内容や利用目的などの公表
    • 総務省への報告

     

    TOPへ