つなワタリ@捨て身の「プロ無謀家」(@27watari)です。
2023年11月に通信アプリ「LINE(ライン)」の利用者の情報約51万件が流出した可能性がある問題で、総務省がLINEヤフーへの行政指導を検討していることが明らかになりました。このまま杜撰な状態が続くようだと、最悪は一定期間の業務停止にもなりかねません。もはやLINEは一大インフラになっていますので、一時的な利用停止になることはないでしょうが、あまりに不祥事が続くと、ありえるかもしれません。
【目次】本記事の内容
総務省がLINEヤフーへの行政指導を検討中……原因は約51万件の情報流出
2024年3月1日、共同通信が速報ニュースとして総務省がLINEヤフーへの行政指導を検討していることを報じました。
これは2024年11月、LINEヤフーが「LINEの利用者や取引先などに関する約44万件の情報が外部に流出した可能性がある」と発表し、さらにその後の調査により約7万9千件が追加で流出した恐れがあることが発覚。情報流出が合計約51万件に膨らんだという事実を受けての対応です。
まずは2023年11月27日に発表されたLINEヤフーの謝罪文を確認してみましょう。
こちらです。
↑画像を別画面で開くと拡大されます。
「不正アクセスによる、情報漏えいに関するお知らせとお詫び」
https://www.lycorp.co.jp/ja/news/announcements/001002/
魚拓URL:https://megalodon.jp/2024-0303-2223-48/https://www.lycorp.co.jp:443/ja/news/announcements/001002/
念のために文章に残しておきます。
こちらです。
不正アクセスによる、情報漏えいに関するお知らせとお詫び
2023年11月27日
お知らせ
LINE X Facebook
LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。
本件につきまして、以下の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。
■発生した事象
当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
10月17日に当社システムへの不審なアクセスを検知し分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したものです。当社では被害状況の把握と拡大の抑止の対応を実施しています。
また、関係省庁には適宜状況の報告を行っております。
■本事案の影響(詳細は別添を参照ください)
11月27日時点で、本件により漏えい(可能性も含みます)が確認できた個人情報は以下のとおりです。
〈ユーザーに関する情報〉
・ユーザーに関する個人情報 302,569件(うち日本ユーザー129,894件)
推計値49,751件を含む(うち日本ユーザー15,454件):LINEユーザー内部識別子*2に紐づくサービス利用履歴など
うち、通信の秘密*3に該当する情報 22,239件(うち日本ユーザー8,981件)
推計値3,573件を含む(うち日本ユーザー31件)
口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は上記に含まれません。
〈取引先等に関する情報〉
・取引先等に関する個人情報 86,105件:取引先等のメールアドレス等
・取引先等のメールアドレス*4 86,071件
・取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等 34件
〈従業者等に関する情報〉
・従業者等に関する個人情報 51,353件:氏名、社員番号、メールアドレス等
・ドキュメント管理システム内の従業者等に関する個人情報 6件
・認証基盤システム内の従業者等に関する個人情報*5 51,347件
・当社および当社グループ会社 30,409件
・NAVER社およびグループ会社 20,938件
*1 当社、当社グループ会社、NAVERグループにおける従業員、業務委託先および派遣元等の従業者
*2 LINEのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なります。
*3 メッセージのように特定者間のやり取りに関連する情報
*4 当社メーリングリストに含まれていた当社(当社グループ会社を含む)ドメイン以外のメールアドレス
*5 提供しているシステムに応じて会社を区分。本件数は、アカウント数であり重複がある。従業員数とは一致しない。
■時系列対応(日本時間)
2023/10/09:当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始
2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始
2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断
2023/10/28:従業者の社内システムへの接続について再ログインを強制実施
2023/11/27:ユーザーおよび従業者等への通知を開始
■対象者へのお知らせおよび今後の方針について
二次被害のおそれがあると評価したユーザーの皆さまには、個別にご連絡いたします。それ以外の、取引先の皆さまを含むご連絡可能なお客様に対しても個別のご連絡を実施予定です。該当の既存ユーザーおよび現時点で退会されているユーザー、取引先の皆さまには、ご登録いただいたメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別にご案内いたします。また、該当する当社従業者につきましても、本事案の説明を行います。なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。
当社にてアクセス遮断などの処置を実施しており、該当するユーザーの皆さまにご対応いただく事項はございませんが、当社を装ったメッセージにご注意くださいますようお願い申し上げます。また、巧妙な詐欺やフィッシングの可能性があるため、十分にご注意くださいますようお願い申し上げます。
今後、当社は旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化していく予定です。加えて、事象の契機となった、委託先の安全管理措置の是正に取り組みます。また、これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していきます。
改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。
■本件に関する問い合わせ
本件に関するユーザーからの問い合わせは、下記窓口で受け付けています。
URL:https://support.yahoo-net.jp/formly/s/dirlycorporateinfo
■別添
本事案の影響の詳細
・ ・ ・
この後にも連続でお詫びが続いています。あまりに大量すぎるので、リンクだけ貼っておきます。
<LINEヤフー情報漏えいに関するお知らせ>
・不正アクセスによる、情報漏えいに関するお知らせとお詫び(12/27更新)
https://www.lycorp.co.jp/ja/news/announcements/001166/
・不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)
https://www.lycorp.co.jp/ja/news/announcements/007712/
最終的には「約51万件」の情報流出だったようですが、お詫び文書はわかりにくいですね。きっとワザとでしょう。困ったものです。
さて、このような状況についてネットではどのような声が多いでしょうか。かなり大量ですので、一部を抜粋して紹介します。
LINEヤフー個人情報流出問題に対するネットの声
LINEは日常で使われておりますので、やはりかなり大きな反応でした。
<LINEヤフー個人情報流出問題に対するネットの声>
・LINEヤフーについては、昨年11月の50万件以上の情報漏えいの他に、いくつかの情報漏えいに関する事案を発生して問題となってました。2021年には業務委託先の中国の関連会社従業員が国内の個人情報データにアクセス可能な状態のまま、放置されていた事案が発覚し、個人情報保護委員会から行政指導を受けています。それ以外にもLINEの個人情報データの保護に関しては大なり小なり問題を起こしています。このような状態を看過することは出来ず、情報通信を所管する総務省としても勧告に近い内容で行政指導を行うことになったのでしょう。ただ、行政指導は文字通り助言や、それよりもやや強い勧告や警告であって、法的拘束力はなく、何ら処分を受けることは有りません。しかしイエローカードであることは間違いなく、このまま改善なくサービスを続けることになれば行政処分となる可能性もあり、業務停止の処断が下されます(森井昌克/神戸大学大学院工学研究科 教授)
・LINEは以前からセキュリティや情報管理の甘さが指摘されてきた企業であり、情報流出は驚くことではない。企業も悪いが、様々な個人情報をLINEに登録している人も危機感がないのだろう。今後、LINEを利用することを止めていくことも考えるべきだろう
・LINEヤフーとネイバーの情報セキュリティの甘さと無責任さによって引き起こされた重大な個人情報の漏洩である。利用者のプライバシーと信頼を軽視した対応は、断じて許されるべきではない。総務省は厳しい行政指導を行い、再発防止策や被害者への補償を徹底的に求めるべきである。また利用者側も自分の情報がどのように扱われているかをよく確認し、必要に応じてアプリの利用を見直すべきであろう
・行政指導というか、こういった情報流出に対して何故、罰則がないのだろうか? 偉いさん方がそろって頭下げてそれでゆるされるような現実があるから、本気で対策をしていないのでは?
・私の職場はLINEを使用して業務を行っているので、私は使いたくないのに使用させられています。韓国企業や中国企業は国が求めたら情報提供しないといけないようになっているはずなので、日本人の個人情報は中国政府や韓国政府に監視されていると思われるので、後々大変な事にならなければ良いと思っています
・この流出事件以来、突然知らない番号からの電話がものすごい件数かかってくるようになりました。海外、それも全く未知の国からの電話も多いです。不安でLINEヤフーに問い合わせしましたが、流出情報に私が含まれているかは頑なに教えてもらえませんでした
・実際は事実確認だけでおとがめなしとかなんだろうね。今LINEは電話などのライフラインと同じレベルになってる。だから行政もLINE登録しないと使えない場合も生じるしね
・昔の様にメールアドレスや電話番号に戻った方が良いように思える。個人的にはLINEは使わないが(そもそも疎くて分からない)、知人や友人経由で自身の情報が漏れるリスクがある。最近は学校でも職場でも公的機関でもLINE使う傾向があるが、止めた方が良いと思う
・最初からLINEを一切使っていないのだが、ヤフーがLINEと提携し使うようになった。本来は、情報漏洩したLINEを日本として使わないのが当然だと思うが、日本政府も企業も危機管理が薄いと言わざるを得ない! こんなことで、これからの時代をやっていけるんだろうかと心配になる
・皆さん危ないと知っていながらいつまでもLINEなんか使ってないで、日本の大手通信事業三社が主導したプラスメッセージ(旧SMS)使うべき。行政も公式LINEなんかやってないで、プラスメッセージに移行せよ
・何故漏れたのかって言うのをはっきり言えないのは隠蔽してるのかと思ってしまう。サイバー攻撃でってなれば某国の仕業かってなるけど、だいたい委託先の従業員が不正に持ち出して金欲しさに裏の人間に売ってるっていうのがほとんどかと思う。絶対に情報が漏れないっていうのは無理だと思って、いきなり怪しい連絡が来ても無視する、直ぐに消去する、警察に相談する等々、ちゃんと対応できる能力をつけるしかない
・テレビCMのスポンサーだからと言う理由で全然民放で報道されないのは如何なものか。これだけ大規模な情報漏洩してもし大事件に巻き込まれてしまう被害者が出たら責任は取ってくれるのですか? そもそも行政指導で済む事自体がおかしい。冷静に考えたら重大な事なのに、同じ様な事が起き過ぎてもう驚かなくなっている
・3年前に海外でデータ保管してたのが問題になって、国内にデータ移転することになってたはず。今ホームページを見ると、ほぼ移転は終わって残りも6月に完了予定になってるけど、本当だろうか?
・すでにインスタDM、X DMに移行している若年層。LINEは業務連絡等で使われてしまっているから使わざるを得ないだけ。みんな忘れ去っているだろうヤフーBB情報漏洩事件。LINEと提携してまたもや情報漏洩
・ソフトバンクのグループ会社としてLINEヤフーが誕生したのが去年の10月で、その翌月に、主要株主の韓国ネイバーのサーバーからLINEの各情報が漏洩したって話ね。でもこれだけじゃ背景が不足している。ソフトバンクとネイバーが手を組んで作った持株会社がAホールディングス株式会社(主要株主)で、LINEヤフーは連結子会社に当たる。だから、ネイバーの息がかかった代表取締役やその他役員がAホールディングスや子会社の経営方針を決めるにあたり、ネイバーにLINEの情報を流す取り決めがなされたんだと思う
・みんなでプラスメッセージに移行しましょう
・書類仕事が担当者に増えるだけの「行政指導」であれば、同社の体質は改善されないでしょう。一度流出させたら取り返しがつかないのが個人情報である、という自覚を会社はいつになったら理解できるのだろう
・以前、LINEアカウントの乗っ取り被害に遭い、自分も大変でしたが、私の成りすましに騙された友人が大きな金銭的被害に遭いました。その際のLINEのサービスとのやり取りは私の人生でもっともひどい顧客対応で、今でも怒りがこみ上げます。我関せず、乗っ取られたあなたが悪い、騙された友人が悪い、と言わんばかりの対応。そういう会社なので今でも全く信用していません
・最近ヤフー傘下なんて仕組みにしたけど、あくまでも母体は韓国ネイバーでかわらないんだよね。今では仕事のやり取りや公に漏らせない大事なこともグループLINEでやってる人も多いと思うけど、「まさかそんなことないじゃん」と思ってても何があるかわからない
・今日知らぬ間にヤフーLINEプレミアム(YLプレミアム)なるものに加入してて、毎月500円ほど取られているのにクレジットカードの引き落としを見て気がついた。ネットで調べてみると同じような人がたくさんいるようだ。仮に巧妙にネット上で誘導されて知らぬ間にプレミアム会員となった人が1万人いると毎月ヤフーLINEには無駄に500万円振り込まれる。なんじゃこれは。即解約したが、解約するページでも500ポイントプレゼントとか巧妙に継続させようとしてきた
・個人情報を取り扱う部門がバイトばかりという企業もありますね。利益効率を第一にしているところに共通して見られる現象です
・signalに乗り換えましょう。ほぼすべての情報をエンドツーエンドでやり取りでき、最近は相手を電話番号なしで連絡先に追加できる機能も実装されました。signalは非営利団体によって運営されており、無駄な広告や利権等が絡まない、世界中で利用されていることが利点です
・LINEはどんどんだめになるね。SNSというよりも連絡ツールで利用していたけど、SNS要素が強くなりすぎ。広告も多いし、子供には使わせられない。日本もワッツアップが主流になるんじゃないかな
・スマホそのものが動く個人情報発信機のようなものだから、それを覚悟で使うしか無い。セキュリティは脆弱だよ
・こういうこともあるし、LINEのアイコンには自分の顔や家族の顔も載せない方がいいと思うんですけどね。海外にまで自分や家族の顔まで流れてるかもですよ
・タイミングがYahooとLINEの提携の時期とピッタリで「漏洩」でなく「提供」のように感じた。このことで一気にYahooの信頼を無くした。PayPayもYahooショッピングも使っているが、他社も視野に入れるようになった
・個人が使う事のは自由にされれば良いですが 市役所等がラインを使うのは如何なものかと思います。国会議員等がラインを業務で使う事は制限されていると聞きます。市役所等もそれに準拠した扱いにするべきなのでは?
・LINEは色々な意味で信用出来ないので使用していない
・そもそもLINEは『無料』という事を理解しているのだろうか? 無料で使っているものに過度に依存しているリスクを理解しているのだろうか? LINEはデーターが消えようが情報が漏れようが困らない程度に使うツールです
・LINE社に対する不信感がますます強まる一方で、日本がもはやLINEありきの社会と化してしまっている現状に強いジレンマを感じる
・LINEを毎日多用してる人はこういうセキュリティに対する認識を改めた方が良いですね
・LINEは何度同じことを繰り返すのか。総務省も舐められたものだ。NTT西の社長は顧客情報流出の責任をとって辞めるらしいが、出澤氏もやめたほうがよい。そもそも情報インフラが日本を敵視する韓国企業に頼っていること自体が問題
・もともとLINEは情報漏洩するのが前提。韓国にサーバがあり、中国でデータ処理をしている。韓国自身はLINEを利用していない国民が多く、カカオトークが主流。政府の影響が強いLINEを使わない国民が多い。個人情報を漏らされたくない場合は、LINEは使わないこと。そもそも、LINEはその程度の情報セキュリティしかない。大事な情報をLINEで流すほうが情報意識が低すぎる
・ ・ ・
もはやLINEヤフーどうなろうとも、ほとんどの人は使い続ける感じでしょうか。それとも……。
では、なぜLINEヤフーで情報漏えいなどが起きてしまうのでしょうか。「PRESIDENT Online 」ではそんな疑問に斬り込んでいます。
LINEヤフーが個人情報流出を繰り返す理由
2023年12月にPRESIDENT Onlineが『なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する「日本×韓国企業」のガバナンス危機 』というタイトルで問題点に斬り込んでいます。
記事では、不正アクセスは韓国から始まったこと、発端はネイバーの傘下企業の委託先の従業員のパソコンがサイバー攻撃を受けてマルウエア(悪意のあるソフトウエア)に感染したことなどが書かれています。
流出した情報は、利用者の国、性別、年代、通話の利用頻度、スタンプの購入履歴など20項目以上で、音声やビデオによる無料通話の日時など「通信の秘密」にあたる情報も2万2000件余りあったそうです。
さらに問題なのは、不正アクセスは10月9日に始まり、17日に検知。27日になってようやく外部からのアクセスを遮断したが、公表したのは発覚してから1カ月以上も経った後の11月27日だったそうです。こういう杜撰な隠蔽体質はヤバいです。
実際、プライバシーの認証制度の審査で不合格の烙印を押されているのが現状でもあります。実際、公表されていない情報漏えいは他にもあると噂されています。
現時点でLINEヤフーにとって代わるような国内のネットサービスは見当たりませんが、このまま安泰とはいえないでしょう。総務省の行政指導が大きな効力を発揮するわけではありませんが、LINEヤフーに対する不安がジワリと広がっていくのは間違いないでしょう。
参考:
・なぜLINEヤフーは個人情報流出を繰り返すのか…総務省が問題視する「日本×韓国企業」のガバナンス危機 (PRESIDENT Online /2023/12/18 11:00)
https://president.jp/articles/-/76774?page=1
魚拓URL:https://megalodon.jp/2024-0304-0710-39/https://president.jp:443/articles/-/76774?page=1
<おまけ>LINEヤフー株式会社の全体像まとめ
LINEヤフー株式会社についての詳細をご存知ではない方もいるかと思いますので、簡単に箇条書きで全体像を載せておきます。
◯業務開始はいつから?
LINEヤフー株式会社(英文名:LY Corporation)の業務開始は2023年10月1日より
◯LINEとヤフーが合体したの?
LINE株式会社、ヤフー株式会社が合併したと思われている方がほとんどでしょうが、正式には、Zホールディングス株式会社、LINE株式会社、ヤフー株式会社、Z Entertainment株式会社およびZデータ株式会社の合計5社が合併したものです。表面には名前は出てきていませんが、ソフトバンクグループの核となる存在です。
◯コンセプトは?
ミッションは、「WOW」なライフプラットフォームを創り、日常に「!」を届ける。というもの。簡単に言ってしまえば、驚き(WOW)と感動(!)を提供する会社ということです。
◯会社概要は?
所在地:東京都千代田区紀尾井町1番3号 東京ガーデンテラス紀尾井町 紀尾井タワー
従業員:約28,000人(連結)、10,000人以上(単独)、124社(グループ会社数)※2023年8月時点
ユーザー数:3.2億超(グループ延べ利用者数)、5,430万(Yahoo! JAPAN 月間ログイン)、1.99億(LINE 月間アクティブ)
サービスエリア:約230カ国・地域 ※2023年8月時点
サイトリリース:https://www.lycorp.co.jp/ja/news/
以上
【委託式? 買取式? それとも?】3つの視点とロス軽減が商売のキモ
