LINEヤフー、個人情報流出発表　ネイバー経由で44万件か

LINEヤフーは27日、同社のサーバーが第三者から攻撃され、LINEアプリの利用者情報など約44万件が流出した可能性があると発表した。大株主である韓国ネット大手ネイバーと一部システムを共通化していたことが一因だ。過去にもLINEの利用者情報を中国の関連会社が閲覧できた問題が起きており、情報管理体制が改めて問われる。

今回流出した恐れのある44万件の個人情報のうち約30万件は利用者に関するものという。対話アプリ「LINE」の利用者は9600万人に上る。流出した情報の中には解析すればアプリのプロフィル情報にある氏名などを第三者が閲覧できる可能性があるものもある。利用者の性別やLINEスタンプの購入履歴なども流出したもようだ。

LINE内のメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないという。

ほかに取引先や従業員などに関連する情報が9万件弱、5万件強ずつ外部に漏れた可能性がある。LINEヤフーは「利用者や取引先の情報を利用した二次被害の報告は受けていない」としている。同社はZホールディングス（HD）とヤフー、LINEが合併して誕生した。旧ZHDと旧ヤフーの個人情報は流出していないようだ。

LINEヤフーとネイバーは一部の社員向けシステムを使うための認証基盤を共通化している。この認証基盤がLINEへのサイバー攻撃への糸口となったとみられる。

まずネイバー子会社の取引先のパソコンがマルウエア（悪意のあるソフトウエア）に感染した。その後に共通の認証基盤が使われ、LINEヤフーのサーバーも攻撃を受けたようだ。ネイバーは27日、「ネイバー側の被害は確認されていない」とコメントした。

LINEヤフーは10月中旬に不審なアクセスを検知した後、ネイバーと共通化する認証基盤から旧LINEサーバーへのアクセスを遮断した。アクセス権がある社員に再ログインの強制実施やパスワードの変更を促し、今後は認証基盤をネイバー側から分離させる方針だ。

総務省は電気通信事業法に基づいて詳細な報告を求めており、今後対応を検討する。

LINEヤフーの個人情報管理を巡っては、過去にも問題が起きている。2021年3月には、中国の業務委託先の従業員が日本のサーバー内にある利用者の氏名や電話番号などを閲覧できたなどの問題が発覚した。

同社は個人情報の管理体制の見直しを進めたが、23年8月には旧ヤフーが検索エンジンの開発・実証のため、約410万件のIDの位置情報をネイバーに提供していたことが発覚した。総務省は利用者への周知が不十分なまま情報を外部に提供したなどとして行政指導した。

総務省は行政指導の中で「利用者の利益の保護に関わるガバナンスの在り方について見直す必要がある」と指摘している。個人情報の保護に関わる問題が再発したことで、LINEヤフーは情報管理体制の見直しが求められる。

サイバー被害に詳しい山岡裕明弁護士は「システム共通化はIT資産を効率的に管理でき、セキュリティーに資する側面がある。他方で、被害がシステム全体に及びかねないというリスクも存在する」とみる。今回は「国内データへのアクセス権限の範囲が適正だったかもポイントだ」と指摘する。

その上で一般論として「1つの端末が感染した際の被害範囲を抑えるため、アクセス権限や認証のあり方を常に見直すべきだ」と話している。