LINEヤフーは11月27日、サーバーが不正アクセスを受けて、展開する「LINEアプリ」の利用者の個人情報など約30万件が流出した可能性があると発表した。現時点でユーザー情報や取引先情報を利用した二次被害の報告はないとし、今後、二次被害のおそれがあるユーザーには個別に連絡するとしている。10月にLINEとヤフーらが合併・統合し、サービス強化や集客力アップに向けて互いのIDを連携させてECを含めた各事業の拡大に乗り出した矢先の情報流出が利用者の不信感を高めるのは明白で同社の今後の事業に少なからず悪影響を及ぼしそうだ。
利用者情報の漏えいは30万件
情報漏えいの可能性があるユーザーに関する個人情報は30万2569件でそのうち日本のユーザーの情報は12万9894件。流出した可能性のある情報は「LINE」のサービス利用履歴など。LINE内でのメッセージ内容、利用者の銀行口座やクレジットカードなどの情報流出は確認されていないという。
通販関連ではギフト品の販売サービス「LINEギフト」の購入先の店舗名や当該店舗の売上額などで該当する日本のユーザーは304件。なお、仮想モール型プラットフォーム「LINESHOP-PING」でもページ閲覧数やショップ訪問数の統計情報などが1万件程度、流出した可能性があるが、タイのみで日本のユーザーは該当がなかった。
仮想モール「ヤフーショッピング」の利用者の個人情報など旧ヤフーのサービスに関する情報漏えいはないようだ。
ユーザーに関する情報のほか、取引先等のメールアドレスなど「取引先に関する個人情報」が8万6105件、従業員の氏名、社員番号、メールアドレスなどの「従業員等に関する情報」は5万1353件が流出した可能性があるという。
委託先の社員のPC経由で漏えい
情報の漏えいは同社株主である韓国ネイバーの子会社でデータセンターなどを運営するNAVERCloud(ネイバークラウド)の委託先でかつLINEヤフーの委託先でもある企業の従業者のパソコンがコンピューターウイルスの「マルウェア」に感染したことがきっかけ。
NAVERCloudとLINEヤフーの従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVERCloudのシステムを介して10月9日にLINEヤフーのシステムへ第三者による不正アクセスが行なわれたという。同17日に同社システムへの不審なアクセスを検知し、同27日に外部からの不正アクセスによる蓋然性が高いと判明。不正アクセスに使用された可能性のある従業者のパスワードをリセットし、委託先のシステムから、LINEヤフーの各サーバーに対するアクセスを順次遮断するなど被害拡大の抑止の対応を実施したという。
今回の情報漏えいで二次被害のおそれがあるユーザーには個別に連絡。また、それ以外の取引先を含む連絡可能なユーザーやすでに「LINE」を退会しているユーザーらにも登録メールアドレスまたはLINE公式アカウント「LINEOfficialAccount」の「LINE」アプリへのメッセージの通知機能等を通じて個別に連絡したという。
同社では今後、旧LINE環境の社内システムで共通化しているNAVERCloudとの従業者情報を扱う認証基盤環境を分離しネットワークアクセス管理を強化。加えて、委託先の安全管理措置の是正に取り組むとしている。
これまでも情報取り扱いに問題も
LINEヤフーは2021年3月には旧LINEが中国の業務委託先の従業員が日本サーバー内にある利用者の氏名や電話番号などを閲覧できる状態となっていたことが発覚した。また、2023年8月には旧ヤフーの検索エンジンの開発・実証のため、ネイバーに提供していた約410万件の位置情報について、利用者に対して事前の十分な周知を行うことなく提供、利用させ、また、ネイバーが物理的に提供情報をコピーできる状態になっていたなど十分な安全管理措置がとられていなかったとして、電気通信事業法上、不適切であると総務省が文書による行政指導を行っていた。
高まるユーザーの不信感
LINEとヤフーらは2023年10月に合併・統合。その後、LINEとヤフーのID連携がスタートして、これにより、それぞれのサービスの連携を強化し売り上げ拡大を図っていく考えだった。また、販促費を絞ったことで流通総額が低迷する「ヤフーショッピング」においてもID連携などによってLINEユーザーの集客などを強化して反転攻勢をかける算段があるわけだが、今回の情報の漏えいで利用者の不信感が高まることは明白だろう。
今回の大規模な情報漏えいで失う信用はLINEヤフー1社のダメージだけにとどまらない。今回は10月の経営統合以前の旧LINEのもののみで仮想モールの利用者の個人情報など旧ヤフーのサービスに関する情報漏えいはないようだが、これから先、同社のもとで「ヤフーショッピング」を含む各事業が展開されていく中で、また、LINEとヤフーのID連携に続いて、24年度中にはグループの決済サービス「PayPay」のID連携も予定しているという中で、個人情報の管理体制に不安のある企業のサービスは受け容れられるのか。
「ヤフーショッピング」は多くのEC事業者にとって大切な「売り場」。その大切な売り場を管理する運営者という立場・責任を自覚して運営を担える企業足りえるのか。LINEヤフーがユーザーからの信用をどう回復させていけるか。また、今後、同様の形で情報流出を起こさない体制を構築できるのか。EC事業者もその行方を注視していく必要がある。
