不正アクセスによる個人情報流出問題で再発防止策を発表 ーLINEヤフー
2024/02/20 情報セキュリティ, 不正競争防止法, 個人情報保護法, IT
はじめに
利用者9600万人に上る通信アプリ「LINE」。その「LINE」を運営するLINEヤフー株式会社は、2023年11月、不正アクセスにより利用者情報など約44万件が流出した可能性があると発表していましたが、先日、新たな情報漏洩が確認され、被害件数が約51万9000件に拡大したことがわかりました。
一連の不正アクセスを受けて、LINEヤフーは2月14日、再発防止策をまとめ発表しました。
被害は51万件超に拡大
昨年11月時点で「流出した恐れがある」とされた個人情報約44万件。そのうち約30万件は利用者に関するものだったとされています。流出した情報の中には、利用者の性別、LINEスタンプの購入履歴などの他、解析により、アプリのプロフィール情報にある氏名などを第三者が閲覧できる可能性がある情報も含まれているといいます。
その一方で、口座情報、クレジットカード情報、LINE アプリにおけるトーク内容は流出していないとされています。
LINEヤフーは情報漏洩を受け、追加で綿密な調査を行なってきましたが、さらに別ルートでの不正アクセスが発覚。新たに7万9110件の情報漏えいの疑いがあることが判明しました。
具体的には、LINEヤフーに合併する前の、旧LINE社の従業員の氏名、メールアドレス、電話番号、顔写真などで、昨年10月から11月にかけて不正アクセスの可能性が分かったということです。
委託先従業員のPCウイルス感染
LINEヤフーは情報漏洩が発生した経緯について、LINEヤフーの関係会社である韓国のNAVER Cloud 社の委託先であり、LINEヤフーの委託先でもある企業の従業者が所持するパソコンがマルウェアに感染したことが契機だと発表しています。
NAVER Cloud 社とLINEヤフーの従業者情報を扱う共通の認証基盤で管理されている旧LINE 社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud 社のシステムを通じて、10月9日、LINEヤフーのシステムへ第三者による不正アクセスが行われたということです。
同月17日にLINEヤフーがシステムへの不審アクセスを検知し分析をしていたところ、27日に外部から不正アクセスを受けた可能性が高いと判明しました。
再発防止策について
LINEヤフーは、今回の不正アクセスが起きた原因として、以下の点での問題があったとして、再発防止策を順次実施していくとしています。
・委託先企業への安全管理措置
・NAVER と旧 LINE 間のシステム・ネットワークのあり方
・旧 LINE 社における従業員システムのセキュリティ
具体的には、以下のような再発防止策をまとめています。
■委託先管理の強化
・委託先のセキュリティリスク評価方法を見直すこと。
・より実効性の高いモニタリングや管理、監督方法を策定。
・LINEヤフーの外部委託先が社内ネットワークにアクセスする場合に、会社が管理するパソコンの利用や会社ネットワークに接続する時の二要素認証の徹底推進。
・NAVER Cloud 社含む本件の原因となった委託先に対し、改善策について実施状況を確認し、必要に応じた管理の強化などを要請へ。
■システム・ネットワークのリスク解消・強化(NAVER Cloud 社との認証基盤の分離含む)
・NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化
・旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離し、LINE ヤフー専用の認証基盤への移行を実施。
・NAVER 社と NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムやネットワーク分離も行う。
■従業員システムのセキュリティ強化
・従業員向けシステムへのアクセス制御と制限強化のため、二要素認証の適用を標準とする。
・データ分析システムなどの重要なシステムに対し、追加的なセキュリティ診断を実施。
コメント
東京商工リサーチが行った独自調査によると、2023年に上場企業(その子会社含む)が公表した個人情報の漏えい・紛失事故は175件と、前年比6.0%増。漏えいした個人情報は、大型事故が相次いだ影響もあり、4,090万8,718人分で前年比590.2%増と大幅な増加がみられたといいます。
そして、そのうち、半数以上は、「ウイルス感染・不正アクセス」を原因としています。特に、「ランサムウェア」が猛威をふるっているそうで、一層慎重な対策が必要です。
事業柄、個人情報を多く抱える企業ほど、ハッカーに狙われやすい傾向があるといいます。日々のウイルス対策のほか、他社に社内アクセスを許可する際の手順・対策を見直すことも重要になります。
関連コンテンツ
田中 浩之
室谷 光一郎
堀ノ内 佳奈
- まとめ
- QAで学ぶ契約書作成・審査の基礎第55回 共同研究開発契約:~実績報告書の作成2023.9.1
- 今回は, 共同研究開発の実施/情報交換/全体詳細スケジュールの作成/報告・協議及び内容変更/研...
- ニュース
- 中国企業に“営業秘密”の研究データ漏えいで産総研の中国人元研究員に有罪判決2025.3.12
- 中国籍の元主任研究員が、国立研究開発法人「産業技術総合研究所」の研究データを中国企業に漏えいし...
岡 伸夫
新着情報
- 解説動画
加藤 賢弁護士
- 【無料】上場企業・IPO準備企業の会社法務部門・総務部門・経理部門の担当者が知っておきたい金融商品取引法の開示規制の基礎
- 終了
- 視聴時間1時間
- 解説動画
江嵜 宗利弁護士
- 【無料】今更聞けない!? 改正電気通信事業法とウェブサービス
- 終了
- 視聴時間53分
- まとめ
- 今年秋施行予定、改正景品表示法の概要2024.4.25
- 昨年5月に成立した改正景表法が今年秋に施行される見通しです。確約手続きの導入や罰則規定の拡大...
- 弁護士
- 目瀬 健太弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 業務効率化
- クラウドリーガル公式資料ダウンロード
- セミナー
熊谷 直弥 弁護士(弁護士法人GVA法律事務所 パートナー/第一東京弁護士会所属)
- 【オンライン】2025年春・Web3/暗号資産の法令改正動向まとめ
- 終了
- 2025/04/23
- 12:00~13:00
- ニュース
- 最高裁、父親の性的虐待で賠償認めず、民法の除斥期間とは2025.4.23
- 子どもの頃に性的虐待を受けたとして40代の女性が父親に損害賠償を求めていた訴訟で16日、最高裁...
- 業務効率化
- 鈴与の契約書管理 公式資料ダウンロード
- 弁護士
- 原内 直哉弁護士
- インテンス法律事務所
- 〒162-0814
東京都新宿区新小川町4番7号アオヤギビル3階
