日本国内で9,500万人以上が利用するLINEは、もはや生活インフラといえる存在です。その一方で、サービスの規模が大きいがゆえに、ひとたびインシデントが発生すると影響範囲も膨大になります。
2021年に中国の委託先企業による不正アクセス問題が発覚して以降、LINEヤフー(旧LINE株式会社)では複数のセキュリティインシデントが繰り返されており、そのたびに総務省の行政指導や社会的な批判を受けてきました。
この記事では、LINEに関連して発生した主要な情報漏洩・流出・不具合の事案を時系列で整理し、それぞれの原因・影響・対応状況を解説します。情報システム部門やセキュリティ担当者の方が組織内でのリスク評価・周知に活用できる形でまとめています。
目次
- 1 LINEで発生した情報漏洩・流出インシデント一覧
- 2 LINE 中国委託先による不正アクセス(2018〜2021年)
- 3 旧ヤフー、410万件の位置情報をNAVERに提供(2023年)
- 4 NAVER経由のサイバー攻撃で約52万件の個人情報流出(2023〜2024年)
- 5 LINEアルバム機能の不具合で13.5万人の画像が誤表示(2024年11月)
- 6 LINE公式アカウントのCDN脆弱性(CVE-2025-66373)で情報誤表示(2025年12月公表)
- 7 LYPプレミアム パスワード不具合—誤入力が約1年間そのまま上書き(2026年4月公表)
- 8 LINEのインシデントが繰り返される構造的背景
- 9 よくある質問(FAQ)
LINEで発生した情報漏洩・流出インシデント一覧
| 発生時期 | 事案の概要 | 影響件数 |
|---|---|---|
| 2018年8月〜2021年2月 | 中国委託先エンジニアが国内サーバーに不正アクセス | 非公表(氏名・電話番号・メッセージ等) |
| 2023年5月〜7月 | 旧ヤフーが韓国NAVERにユーザー位置情報を無断提供 | 約410万件 |
| 2023年11月〜2024年2月 | NAVERのマルウェア感染端末経由でサイバー攻撃、個人情報流出 | 約52万件 |
| 2024年11月 | アルバム機能の不具合で他ユーザーの画像が誤表示 | 国内外約13.5万人 |
| 2025年9月 | LINE公式アカウントのCDN脆弱性(CVE-2025-66373)で誤表示 | 限定的(想定確率0.001%以下) |
| 2025年4月〜2026年4月 | LYPプレミアム パスワード不具合で誤入力値に上書き | 調査中 |
LINE 中国委託先による不正アクセス(2018〜2021年)
何が起きたか
2021年3月、LINEの中国の業務委託先企業に所属するエンジニア4人が、2018年8月から2021年2月にかけて、日本国内のサーバーに保存されたユーザーの個人情報にアクセスできる状態だったことが発覚しました。
アクセス可能だった情報には、氏名・電話番号・メールアドレスにとどまらず、「トーク」機能内のメッセージや、ユーザーが保存した画像も含まれていました。日本人ユーザーのプライバシーに直接かかわる情報が、約2年半にわたって海外の委託先から閲覧できる状態にあったことは、当時大きな社会問題となりました。
なぜそうなったか
LINEは、ゲームプラットフォームの開発などを行う中国の業務委託先に対して、システムのメンテナンス業務を委託していました。LINE側は「業務に必要な範囲でアクセス権限を付与して管理していた」と説明していますが、日本国内のユーザーデータに対する権限管理・監査が実質的に機能していなかった点が問題の核心です。
委託先管理の観点から言えば、「業務上必要」という理由だけでアクセス権を付与するのではなく、アクセスできるデータの範囲を最小化するとともに、実際のアクセスログを定期的に監査する体制が不可欠です。この事案はその体制が欠如していたことを示すものでした。
旧ヤフー、410万件の位置情報をNAVERに提供(2023年)
何が起きたか
旧ヤフー株式会社は、2023年5月18日から7月26日の期間に、検索エンジン開発の名目で、韓国IT大手のNAVERに対して約410万件分のユーザーID・位置情報を提供していました。この提供はユーザーへの事前周知が不十分であり、安全管理措置にも不備があったとして、総務省から行政指導を受けました。
総務省はヤフーに対して、ユーザーへの適切な周知、ガバナンスの見直し、不同意時の対応手段の提供、安全管理措置の導入、取得情報の利用目的の公表などを求めました。
この事案が示すもの
LINEヤフーはNAVERとの資本・業務の関係が深く、データの流通経路が国境をまたいで複雑に絡み合っています。「検索エンジン開発」という正当な業務目的であっても、ユーザーへの事前説明と同意のないデータ提供は、個人情報保護法上の問題が生じます。この事案は単なる「うっかり」ではなく、企業のデータガバナンス体制の構造的な問題を示していました。
NAVER経由のサイバー攻撃で約52万件の個人情報流出(2023〜2024年)
何が起きたか
2023年10月9日ごろ、NAVERの下請け業者が所有するマルウェア感染端末から、LINEヤフーのサーバーへの不正アクセスが発生しました。LINEヤフーとNAVER Cloudは従業員・人事データ用の社内ネットワークを共有しており、その共通インフラが侵入経路となりました。
LINEヤフーは同年10月17日ごろに不審なアクセスを検知し、調査を開始。11月27日にユーザー・従業員への通知を開始しました。2023年11月時点で「約44万件の流出可能性」と公表しましたが、その後の調査で不正アクセス可能期間が約1か月長かったことが判明し、さらに2024年2月には旧LINEの従業員情報約5万7千件の流出も追加公表。最終的な流出件数は約52万件に達しました。
流出した情報にはLINEの利用者情報(性別・LINEスタンプの購入履歴など)が含まれます。ただし、LINE内のトークメッセージ、銀行口座、クレジットカード情報の流出は確認されていないとしています。
国の対応と経営への影響
総務省は2024年3月5日にLINEヤフーへの行政指導を実施し、再発防止措置の報告を求めました。行政指導ではNAVERへの業務委託依存の問題が明示的に指摘されており、LINEヤフーはNAVERのシステムからの分離を2026年12月までに完了するとの報告書を提出しています。
しかし総務省はこの報告書が不十分と判断し、再検討を指示。LINEヤフーとNAVERの資本・システム関係の見直しは引き続き政策上の焦点となっています。
LINEアルバム機能の不具合で13.5万人の画像が誤表示(2024年11月)
何が起きたか
2024年11月28日17時50分、LINEのアルバムのサムネイル画像を作成するシステムのアップデートに伴い、他のユーザーの画像が誤って表示される不具合が発生しました。LINEヤフーは12月5日に影響人数を公表しており、国内外合計で約13.5万人のユーザーに影響があったとしています。
具体的には、自分のアルバムのサムネイルが他ユーザーのアルバムに表示されたケース(国内約7万人・海外含む約13.5万人)と、他ユーザーのサムネイルが自分のアルバムに表示されたケース(国内約5.5万人・海外含む約11.4万人)の2種類が発生しました。
技術的な原因
LINEのアルバムでは、投稿から35日以上経過した画像を圧縮変換して保存しています。この圧縮済み画像をサムネイルに変換する処理でトラフィックが集中した際、複数ユーザーの画像データが混在した状態で処理されてしまったことが原因です。アルバム以外のトーク画像等への影響はなかったとされています。
不具合自体は11月30日1時14分に解消されましたが、端末内のキャッシュに誤表示データが残るため、各OS向けのアプリアップデートが12月2日(iOS)・3日(macOS)まで順次提供されました。
総務省はこの事案を「通信の秘密の漏洩」と判断し、電気通信事業法に基づき30日以内の詳細報告をLINEヤフーに義務づけました。
LINE公式アカウントのCDN脆弱性(CVE-2025-66373)で情報誤表示(2025年12月公表)
何が起きたか
LINEヤフーは2025年12月9日、企業・店舗向けの「LINE公式アカウント」において、一部のユーザー情報・企業情報が誤って表示される不具合があったと公表しました。
影響を受けたのは「LINEチャット」(企業とユーザーの1対1チャット機能)および公式アカウント管理画面の2つです。LINEが利用している外部CDNサービス(Akamai)の脆弱性(CVE-2025-66373)とLINE側のデータ処理方式の組み合わせによって誤表示が発生しました。CVEの修正完了を確認後に公表に至っています。
誤表示が発生しえた条件は非常に限定的で、LINE Security Bug Bounty Programの検証者が脆弱性検証を行っていた時間帯(2025年9月19日・24日・25日の各数時間)に、同じ通信経路上でLINEチャットや管理画面を利用していたユーザーのみが対象となります。想定確率は0.001%以下とされており、二次被害の確認もないとしています。
誤表示の可能性がある情報はユーザー側では内部識別子・ユーザーネーム・プロフィール画像、企業・店舗側では公式アカウントの管理情報・管理者のプロフィール・配信メッセージ情報、チャット上では企業とユーザーの間のテキストメッセージです(画像・動画・ファイルは対象外)。
LYPプレミアム パスワード不具合—誤入力が約1年間そのまま上書き(2026年4月公表)
何が起きたか
LINEヤフーは2026年4月21日、LYPプレミアムのプレミアムバックアップ利用開始時に発生する不具合を公表しました。ユーザーがパスワード確認画面で誤ったパスワードを入力した際、画面上は「認証失敗」と表示されるにもかかわらず、システム内部ではその誤ったパスワードに上書き更新される状態になっていたというものです。プレミアムバックアップの復元に必要な「マスターキー」も連動して更新される状態でした。
この不具合は2025年4月17日から2026年4月2日まで約1年間継続しており、2026年4月2日に修正が完了しました。現時点で第三者へのパスワード・バックアップデータの漏洩は確認されていませんが、ユーザー自身がパスワードを認識できない状態になっているという実被害が発生しています。
技術的に何が問題か
この不具合の本質は、認証処理と更新処理の責任分離が設計レベルで欠如していた点です。パスワード確認フォームは本来、入力値が正しいかどうかを検証し、正しい場合のみ後続処理を実行する設計でなければなりません。しかし今回は、検証結果が「失敗」であっても、バックエンドで入力値を使った更新処理が走る実装になっており、表示と処理の結果が矛盾するという構造的な欠陥がありました。
また、パスワードのような機密性の高い情報の更新処理において、この矛盾が約1年間にわたって検知・修正されなかったという点も深刻です。認証失敗時の処理ログの監視体制、あるいはパスワード更新のトリガー条件に対するテストが機能していなかったことを示しています。
影響を受けたユーザーが取るべき行動
2025年4月17日〜2026年4月2日の間にLYPプレミアムのプレミアムバックアップ利用開始時にパスワードを入力したことがある場合は、現在ログインしている端末からLINEアプリの設定メニューでパスワードを再設定してください。誤って上書きされたパスワードが不明な場合でも、ログイン済みの端末であれば変更できます。
機種変更・データ移行を予定している場合は、移行前に必ず現在の端末でパスワードを変更してください。変更前に移行すると、プレミアムバックアップのデータを復元できなくなる可能性があります。
LINEのインシデントが繰り返される構造的背景
ここまで6件のインシデントを見てきましたが、共通して浮かび上がる課題があります。
まず、NAVERとの技術・資本的な一体化によるリスクです。52万件流出事案・位置情報提供問題はいずれも、LINEヤフーとNAVERの組織的・システム的な結合が深いことに起因しています。国をまたいだシステム共有はサプライチェーンリスクを内包しており、委託先の感染端末が直接の侵入経路となりました。
次に、認証・システム設計の問題です。2024年のアルバム誤表示はトラフィック集中時の処理競合、2025年のCDN脆弱性は外部サービスとの連携における検証不足、2026年のパスワード不具合は認証と更新処理の分離欠如と、それぞれ性質は異なりますが、品質保証・セキュリティテストの体制不足という点では共通しています。
そして、長期間の放置です。中国委託先のアクセス問題は約2年半、パスワード不具合は約1年間、それぞれ発見・修正されませんでした。継続的な監視・異常検知の仕組みが形式的なものにとどまっていた可能性を示しています。
よくある質問(FAQ)
Q. LINEのメッセージの内容は流出したことがありますか? 2023年のNAVERを経由したサイバー攻撃では、トーク内のメッセージの流出は確認されていないとLINEヤフーは公表しています。ただし2021年に発覚した中国委託先による不正アクセスでは、トーク機能内のメッセージや保存画像も閲覧可能な状態だったことが明らかになっています。
Q. クレジットカード情報や銀行口座の流出はありましたか? 2023年のサイバー攻撃による流出については、クレジットカード情報・銀行口座情報の流出は確認されていないとLINEヤフーは発表しています。
Q. LYPプレミアムのパスワード不具合の対象者はどう確認できますか? LINEヤフーは「LYPプレミアムお知らせ」のLINE公式アカウント(緑の認証バッジ付き)から対象ユーザーへ個別通知を行っています。2025年4月17日〜2026年4月2日の間にプレミアムバックアップ利用開始時にパスワードを入力した方は念のためパスワードの確認・再設定を行うことをお勧めします。
Q. 今後も同様のインシデントが起きる可能性はありますか? LINEヤフーはNAVERのシステムからの分離を2026年12月までに完了するとしており、外部委託に起因するリスクは段階的に低減される見込みです。一方でプラットフォームの規模上、機能追加・システム変更のたびに新たなリスクが生じる可能性は常に存在します。ユーザー側でできる対策として、定期的なパスワードの更新、LINEのログイン通知設定の有効化を推奨します。








