LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年12月11日更新日時: 2026年01月10日

LINEは2025年12月9日、企業・店舗向けサービス「LINE公式アカウント」において、一部のユーザー情報・企業情報が誤って表示される不具合が発生し、情報漏えい（可能性を含む）があったと公表しました。

1 概要
2 個人情報漏洩の範囲
- 2.1 発生した条件と時間帯
- 2.2 誤って表示された／表示された可能性のある情報
3 発覚から公表までの経緯
4 LINEの過去の漏洩事件-2024年のアルバム機能不具合：13.5万人にサムネイル誤表示
5 LINEの過去の漏洩事件-2023年以降のサイバー攻撃・情報流出
6 共通して見える構造的な課題

概要

影響があったのは、以下の機能です。

「LINE公式アカウント」のチャット機能 「LINEチャット」
- 企業・店舗とユーザーが1対1でやり取りする機能
- ユーザー同士の通常トークは対象外
「LINE公式アカウント」の管理画面

原因は、LINEが利用している外部CDNサービス(Akamai )の仕様と、LINE側のデータ処理方式の違いによるものと説明されています。このCDNにはCVE-2025-66373として脆弱性が登録されており、その修正が完了しゼロデイ攻撃の懸念が解消されたことから、今回の公表に至りました。

現時点で、漏えい情報の不正利用など二次被害は確認されていないとしています。

個人情報漏洩の範囲

発生した条件と時間帯

誤表示が起こり得た条件はかなり限定的です。

「LINE Security Bug Bounty Program」の参加者（検証者）が脆弱性検証を行っていた時間帯に、
同じ通信経路（ネットワーク）上で、「LINEチャット」または管理画面を利用していた場合

が対象になります。

具体的な時間帯（日本時間）は次のとおりです。

LINEチャット

2025年9月19日（金） 9:00〜11:00
2025年9月24日（水）14:00〜18:00
2025年9月25日（木）11:00〜15:00

管理画面

2025年9月24日（水）15時台

LINEによると、この時間帯において誤表示が発生した想定確率は0.001％以下とされています。

誤って表示された／表示された可能性のある情報

誤表示は、正しい相手とのやり取り画面に、本来とは異なるユーザー・企業の情報が紛れ込む形で発生しました。対象となる情報は次のとおりです。

ユーザー情報

内部識別子
ユーザーネーム
プロフィール画像など

企業・店舗情報

LINE公式アカウントの管理企業（店舗）情報
管理者のプロフィール情報
配信メッセージに関する情報など

LINEチャット上のメッセージ

「LINE公式アカウント」とユーザーとの間で送受信されたテキストメッセージ
画像／動画／ファイルは対象外

問い合わせや予約、キャンペーン応募など、ユーザーが企業・店舗に送った内容が含まれている可能性があります。

発覚から公表までの経緯

今回の事案は、LINEが運営するバグ報奨金制度「LINE Security Bug Bounty Program」経由で発見されました。

9月19日
- バグバウンティ参加者から本事象の報告を受領し、調査を開始
9月24日
- 外部CDN事業者に調査を依頼、LINE側でも検証を実施
9月25日〜29日
- CDN側と調整しつつ、LINE側で止血対応を実施・完了
10月31日
- 漏えいが確認されていない経路も含めて予防措置を実施
11月17日
- CDN事業者側の修正完了を確認し、本事象は解消
12月4日
- CDN側が脆弱性情報（CVE-2025-66373）を公表
12月9日
- ゼロデイ攻撃の懸念がなくなったと判断し、LINEが利用者向けに事象を公表

なお、今回報告を行った検証者は取得した情報を削除済みとされており、LINEは影響を受けた可能性のあるユーザー・企業に対して、不審な画面のスクリーンショット等が残っている場合は削除するよう呼びかけています。

一方、バグバウンティプログラムでは「他ユーザーやサービスに影響する検証を禁止」しているにもかかわらず、今回はその範囲を越える検証が行われたとして、LINEは2025年12月3日付で新規報告の受付を一時停止しました。今後、安全性と実効性の両立に向け検証体制を見直すとしています。

LINEの過去の漏洩事件-2024年のアルバム機能不具合：13.5万人にサムネイル誤表示

今回の事案の前にも、LINEでは複数の情報漏えい・不具合が発生しています。

2024年11月28日には、アルバム機能のサムネイル画像が他ユーザーのものと入れ替わって表示される不具合が発生しました。

影響を受けたと推定されるユーザー数
- 日本国内：約12.5万人（2種合計）
- 海外を含めると約13.5万人

具体的には、

他人のアルバムのサムネイルに、自分のアルバムのサムネイルが表示されたユーザー
自分のアルバムのサムネイルに、他人のアルバムのサムネイルが表示されたユーザー

の双方が存在しました。

原因は、アルバムのサムネイル画像を作成するシステムのプログラム不備です。LINEのアルバムでは、投稿から35日以上経過した画像を圧縮変換して長期保存しており、この圧縮データからサムネイルを生成する際、処理が集中した条件下で画像データが混在してしまいました。

影響は「アルバムのサムネイル画像」に限定され、
アルバム内の元画像や、その他機能の画像閲覧には影響しない

と説明されていますが、「自分の写真が知らない相手に見られたかもしれない」という心理的なインパクトは小さくありません。

この事案については、総務省が電気通信事業法上の「通信の秘密の漏洩」にあたると判断し、30日以内の詳細報告を求めています。

LINEの過去の漏洩事件-2023年以降のサイバー攻撃・情報流出

サイバー攻撃で約52万件の情報流出（2023〜2024年）

2023年10月、LINE株式会社とヤフー株式会社などの再編で誕生した LINEヤフー株式会社 は、サーバへのサイバー攻撃により約44万件（後に約52万件に訂正）の情報流出の可能性があると公表しました。

流出した恐れのある約52万件のうち、約30万件は利用者に関する情報
氏名などプロフィール情報を第三者が閲覧できる可能性のあるデータ
性別、スタンプ購入履歴なども含まれる
銀行口座、クレジットカード番号、トーク内容などは流出していないと説明

原因は、日本のLINEヤフーと韓国の NAVER Cloud Corporation が、従業員・人事データ用ネットワークや一部ユーザー情報を共有していたことにあります。NAVER側の下請け業者のPCがマルウェアに感染し、そこから共有データベースへの不正アクセスが行われたとされています。

総務省は2024年3月、度重なる情報漏えいを受けてLINEヤフーに行政指導を実施。ネイバーへのシステム依存を見直し、2026年末までにシステム分離を完了させる計画が示されましたが、提出された報告書に対しては「不十分」として再検討を求めています。

関連：LINEで発生した個人情報流出と漏洩のまとめ

中国委託先からのアクセス問題（2018〜2021年）

さらにさかのぼると、2018年〜2021年には、中国の業務委託先企業のエンジニア4人が、日本国内のサーバに保存されたユーザー情報にアクセスできる状態が続いていたことも判明しています。

ここでは、

名前、電話番号、メールアドレス
一部のトーク内容や保存メッセージ、画像

などへのアクセスが可能だったとされ、「業務のための権限付与だった」と説明されつつも、大きな批判を招きました。

旧ヤフーによる410万件の位置情報提供（2023年）

関連会社では、旧ヤフーが2023年5〜7月の間、検索エンジン開発の一環として韓国ネイバーに約410万件のユーザー位置情報を提供していたことも明らかになっています。

ユーザーへの事前周知や安全管理措置が不十分だったとして、総務省はヤフーに対し

ガバナンス見直し
ユーザーへの周知徹底
不同意時の選択肢
安全管理措置と検知体制の構築

などを求めました。

共通して見える構造的な課題

これらの事案を並べると、いくつかの共通点が見えてきます。

複雑な委託・連携構造
- CDN、クラウド事業者、海外グループ企業、業務委託先…と、多数のプレイヤーがデータ処理に関わっている
- その境界で、仕様の差異や権限管理の甘さが露呈しやすい
アップデート・新機能導入時のリスク管理
- アルバム機能のサムネイル不具合は、システム更新時のプログラム不備が原因
- 今回のCDN問題も、特定条件下でのみ発生する「見落としやすいバグ」
プラットフォームの「生活インフラ化」に伴う影響の大きさ
- LINEは個人・企業問わず、日常的な連絡手段として定着している
- その分、情報漏えいが「単なる技術トラブル」では済まなくなっている
透明性とスピードのバランス
- ゼロデイ攻撃の懸念がある場合、すぐに詳細を公表できないというジレンマ
- 一方で、ユーザーから見ると「またLINEか」という印象が蓄積しやすい