LINEヤフー株式会社は2026年4月21日、LYPプレミアムのプレミアムバックアップ利用開始時に、LINEアカウントのパスワード確認画面でユーザーが誤入力した際、画面上は「認証失敗」と表示されるにもかかわらず、システム上ではその誤ったパスワードに更新されてしまう不具合があったと公表しました(LINEヤフー公式「一部のLINEアカウントのパスワード等の不具合に関するお知らせとお詫び」2026年4月21日より)。
この不具合は2025年4月17日から2026年4月2日まで、約1年間にわたって継続していました。
▶ 関連記事:LINEで発生した個人情報漏洩と流出のまとめ
目次
何が起きたか
| 項目 | 内容 |
|---|---|
| 不具合の発生期間 | 2025年4月17日〜2026年4月2日(約1年間) |
| 修正完了日 | 2026年4月2日 |
| 公表日 | 2026年4月21日 |
| 対象サービス | LYPプレミアム プレミアムバックアップ利用開始時 |
| 影響を受ける情報 | LINEアカウントのパスワード、プレミアムバックアップ復元に必要な「マスターキー」 |
| データ漏洩の確認 | 現時点で第三者へのパスワード・バックアップデータの漏洩・露出の事実は確認されていない |
具体的な不具合の内容
LYPプレミアムのプレミアムバックアップ利用を開始する際、LINEアカウントのパスワード確認画面が表示されます。ここでユーザーが誤ったパスワードを入力した場合、本来は「認証失敗」として処理されるべきところ、画面上は「認証失敗」と表示されながら、システム内部ではその誤ったパスワードを正式なパスワードとして更新処理が実行されてしまう状態になっていました。
同時に、プレミアムバックアップの復元に必要な「マスターキー」(ユーザーが直接操作するものではなく、システムが内部で管理・運用するキー)も、パスワードと連動して更新される状態となっていました。
この不具合が引き起こす二次被害
現時点で第三者へのデータ漏洩は確認されていませんが、この不具合には以下の深刻な二次被害リスクがあります。
ユーザーが自分のパスワードだと思って入力した値とは異なる値が実際のパスワードになっているため、次回のパスワード入力を求められた際に、自分のパスワードを入力しても認証が通らないという問題が発生します。
最悪のケースでは、機種変更等を伴うデータ移行時に、プレミアムバックアップからデータを復元できなくなる可能性があります。バックアップデータへのアクセス手段が失われるという点では、データ漏洩に劣らない実害が発生しえます。
技術的な問題点:「認証失敗」と「更新処理」が矛盾している設計
今回の不具合は単純なバグというよりも、認証処理と更新処理の責任分離が適切に設計されていなかったことに起因します。
認証確認のフロー設計において正常であれば、パスワード確認画面での入力値が「現在のパスワードと一致するか」を検証し、一致する場合のみ次のステップに進みます。一致しない場合は即時エラーを返し、以降の処理は一切実行しないことが基本設計です。
しかし今回は、検証結果として「失敗」を画面に返しながら、バックエンドのシステムでは入力値を使った「更新処理」が走るという表示と処理の矛盾が発生していました。これは認証レイヤーと更新処理レイヤーが適切に分離されておらず、認証の成否にかかわらず入力値をそのまま更新関数に渡す実装になっていたことを意味します。
認証確認フォームにおいて「認証失敗」の場合でも更新系の副作用が起きるということは、セキュリティの基本原則である「認証と処理の明確な分離」が実装レベルで守られていなかったと言わざるを得ません。加えて、パスワードのような機密性の高い情報の更新処理に対して、バックグラウンドでの不整合を検知する監視・テストが1年間機能していなかった点も問題です。
影響を受けた可能性があるユーザーへの対応
LINEヤフーは対象ユーザーへ「LYPプレミアムお知らせ」のLINE公式アカウント(緑の認証バッジ付き)から個別に通知しています。
2025年4月17日〜2026年4月2日の間にLYPプレミアムのプレミアムバックアップ利用開始時にパスワードを入力したユーザーは、現在ログインしている端末からLINEアプリの設定メニューでパスワードを変更してください。現在設定されているパスワード(誤って更新されたパスワード)が不明な場合でも、ログイン済みの端末であれば変更は可能です。また、機種変更やデータ移行を予定している場合は、必ず移行前の現在の端末でパスワードを変更してください。変更せずに移行すると、プレミアムバックアップのデータを復元できなくなる可能性があります。
なお、認証バッジのないアカウントからの「パスワードを変更してください」という不審なメッセージには応じないよう注意してください。
お問い合わせ先:https://contact-cc.line.me/cmf/16699
LINEにおける情報セキュリティの問題は繰り返されている
今回の不具合は情報漏洩には至っていないものの、LINEプラットフォームでは過去にも複数のセキュリティインシデントが発生しています。2024年11月には国内外で推定約13万5千人のユーザーのアルバム画像が他ユーザーに誤表示される不具合が発生し、2023年には委託先であるNAVERのサーバー経由で52万件超のLINE利用者・従業員情報が漏洩する事案も起きています。
LINEヤフーは国内最大規模のメッセージングプラットフォームを運営する立場として、認証・更新処理の分離設計の徹底、長期間にわたる不具合の早期検知体制、セキュリティテストの実施体制の抜本的な見直しが改めて問われる事案です。
参考情報
関連記事
LINEで発生した個人情報漏洩と流出のまとめ【2026年最新】
公開禁止のClaude Mythos、公表当日にサードパーティ経由で権限外ユーザーに不正アクセスされ漏洩
山形大学、YCC情報システムへのサイバー攻撃で8万件超の個人情報漏洩の恐れ-契約終了後のデータ残存が問題浮き彫りに
Instagram(インスタグラム)の非公開 写真が漏洩か-研究者が脆弱性を指摘
北九州市教育委員会、教員採用試験の受験者4,135人分の個人情報が情報公開文書から閲覧可能な状態に
米陸軍参謀総長をイラン戦争中に解任-ヘグセス長官の軍粛清と日米同盟・日本安保への影響
山形市委託のYCC情報システム、ランサムウェア攻撃で約50万件・マイナンバーを含む個人情報が漏洩の恐れ-9組織以上に波及した攻撃の起点【2026年4月】
93.7億件のクッキー(Cookie)がダークウェブに流出-「ただの同意」が大きなリスクに変わるとき
あいちロボット産業クラスター協議会サイトに不正アクセス リダイレクト被害で公開停止、個人情報流出は確認されず
