LINEヤフーが不正アクセスでユーザーや取引先・従業員などの個人情報計約44万件が漏えい

LINEヤフーは、同社のサーバーへの不正アクセスによってユーザー、取引先、従業者などに関する個人情報計約44万件の漏えいが判明した、と11月27日発表した。同日時点でユーザー情報や取引先情報を利用した二次被害の報告はない、としている。10月17日に不審なアクセスを検知し、同月27日に不正アクセスの可能性が高いと判断して対策を施した。

漏えいしたユーザーの個人情報は30万2569件(うち日本ユーザー12万9894件)で、コミュニケーションアプリ「LINE」のユーザー内部識別子にひも付くサービス利用履歴などを含む。識別子はLINEのIDとは異なり、アプリの内部でユーザーを機械的に識別するために使われる。口座やクレジットカードの情報、アプリ内でのトーク内容は含まれないという。

今回の情報漏えいは、同社と、同社関係会社の韓国NAVER Cloudの委託先企業の従業員が所持するパソコンがマルウエアに感染したことがきっかけだった。合併してLINEヤフーになる前の旧LINEは、従業員情報を扱う認証基盤をNAVER Cloudと共通で管理していたことから、NAVER Cloudのシステムを介してLINEヤフーのシステムに不正アクセスされた。

流出した取引先などの個人情報は8万6105件、従業員の個人情報は5万1353件となる。LINEヤフーは、不正アクセスに使われた可能性がある従業者のパスワードをリセットし、不正アクセスの経路になったと思われるNAVER CloudのシステムからLINEヤフーのサーバーへのアクセスを順次遮断した。今後認証基盤の環境を分離し、アクセス管理を強化する。