1. 公式発表の構成
読み取りのポイントをもとに、実際に企業の公式発表を読んでみます。
読み始める前に、まず発表全体を眺めて、構成を確認します。
1-1. 何があったの?(委託先の従業者のPCがマルウェア感染)
LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。
*1 当社、当社グループ会社、NAVERグループにおける従業員、業務委託先および派遣元等の従業者
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
■発生した事象
当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。
11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
1-2. いつ?(時系列)
2023/10/9〜10/27の期間に不正アクセス。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
- 2023/10/09:当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始
- 2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始
- 2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断- 2023/10/28:従業者の社内システムへの接続について再ログインを強制実施
- 2023/11/27:ユーザーおよび従業者等への通知を開始
1-3. 今後の対応
個別連絡の計画。
二次被害のおそれがあると評価したユーザーの皆さまには、個別にご連絡いたします。
それ以外の、取引先の皆さまを含むご連絡可能なお客様に対しても個別のご連絡を実施予定です。該当の既存ユーザーおよび現時点で退会されているユーザー、取引先の皆さまには、ご登録いただいたメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別にご案内いたします。
また、該当する当社従業者につきましても、本事案の説明を行います。なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
LINEを装った詐欺メールなどに注意。
当社にてアクセス遮断などの処置を実施しており、該当するユーザーの皆さまにご対応いただく事項はございませんが、当社を装ったメッセージにご注意くださいますようお願い申し上げます。
また、巧妙な詐欺やフィッシングの可能性があるため、十分にご注意くださいますようお願い申し上げます。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
今後のセキュリティ強化。
今後、当社は旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化していく予定です。
加えて、事象の契機となった、委託先の安全管理措置の是正に取り組みます。
また、これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していきます。
不正アクセスによる、情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
2. 取引先等・従業者等の連絡先
氏名やメールアドレスなどが漏えいしています。
〈取引先等に関する情報〉
20231127_appendix_ja.pdf
取引先等に関する個人情報 86,105 件
・ 取引先等のメールアドレス*1 86,071 件
・ 取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等 34 件
*1 当社メーリングリストに含まれていた当社(当社グループ会社を含む)ドメイン以外のメールアドレス
〈従業者等に関する情報〉
20231127_appendix_ja.pdf
従業者等に関する個人情報 51,353 件
1 ドキュメント管理システム内の従業者等に関する個人情報 6 件
・ 氏名、緊急連絡先 6件
2 認証基盤システム内の従業者等に関する個人情報 51,347 件
・ 氏名、社員番号、メールアドレス、所属会社名、所属部署等
当社および当社グループ会社:30,409 件、NAVER 社およびグループ会社:20,938 件
3. 利用者の個人情報の分析と広告
年代や性別、都市部や地方を問わず、日本の人口分布に近いユーザー分布
LINEは、月間ユーザー数9,500万人(2023年6月末時点)
LINEのユーザーはどんな人? – LINEキャンパス
LINEでは、「広告表示の最適化」などのために、利用者の利用状況などの個人情報(パーソナルデータ)を収集・分析しています。
追跡型広告などの機能を無効にしていても、データは収集されています。
実際に、収集されるパーソナルデータは、プライバシーポリシーに記載されています。
- 利用者が提供したパーソナルデータ
(登録した電話番号・メールアドレス、端末のアドレス帳など)- サービス利用に関連するパーソナルデータ
(サービス利用状況、位置情報、アプリ・端末などの情報)- 関連会社などから取得するパーソナルデータ
(アカウント連携など)
3-1. メッセージに関する情報
1 ユーザーに関する個人情報(A1)
⑴ メッセージに関する情報
・ リアクション関連情報 *2
57 件(うち日本ユーザー0 件)*2 ユーザー同士がやり取りするメッセージや画像に対して感情表現を表したアイコンでリアクションする絵文字。それ以外のメッセージ内容についての漏えいは確認されておりません。
・ トークルーム種別、トーク送受信者の国/性別/年代/OS、トークルーム作成経路等
12,945 件(うち日本ユーザー8,196 件)(…)
2 通信の秘密に該当する情報(A2)
⑴ メッセージに関する情報
・ リアクション関連情報
40 件(うち日本ユーザー0 件)・ トーク送受信者の内部識別子、メッセージの類型(テキスト、画像、動画等)、トークルームの内部識別子等
20231127_appendix_ja.pdf
1,687 件(うち日本ユーザー648 件)
3-2. 無料通話に関する情報
(A1) 無料通話に関する情報
・ 通話ページの表示回数、通話ページの表示ユーザー数、通話終了の類型等
7,981 件(うち日本ユーザー697 件)(A2) 無料通話に関する情報
・ 通話ユーザーの内部識別子/国/OS、音声通話タイプ(音声通話、ビデオ通話)、通話日時等
7,054 件(うち日本ユーザー697 件)■その他推計値–1 ユーザーに関する個人情報(A’1)
⑴ 無料通話に関する情報
・ 通話ユーザーの国/OS、音声通話タイプ(音声通話、ビデオ通話)、通話終了の類型等
3,559 件(うち日本ユーザー25 件)(…)
2 通信の秘密に該当する情報(A’2)
20231127_appendix_ja.pdf
⑴ 無料通話に関する情報
・ 通話ユーザーの国/OS、音声通話タイプ(音声通話、ビデオ通話)、通話日時等
3,559 件(うち日本ユーザー25 件)
3-3. LINE VOOM
(A1) (3) LINE VOOM に関する情報
・ コンテンツの投稿日時、投稿したユーザーのフォロワー数/友だち数、OS のバージョン情報、投稿された動画コンテンツの開始・終了時間等
32,972 件(うち日本ユーザー15,459 件)(A2) (3) LINE VOOM に関する情報
・ 投稿コンテンツの ID/URL、LINE ユーザー内部識別子、投稿コンテンツの再生時間、投稿したコンテンツに適用したエフェクト/音楽の内部識別子等
9,794 件(うち日本ユーザー7,525 件)(A’1) (1) LINE VOOM に関する情報
20231127_appendix_ja.pdf
・ 投稿コンテンツの内部識別子、LINE ユーザー内部識別子、コンテンツの投稿日、コンテンツの再生時間等
58 件(うち日本ユーザー0 件)
3-4. LINE公式アカウント
(A1) ⑷ LINE 公式アカウントに関する情報
・ 公式アカウント作成経路、LINE ユーザー内部識別子、ユーザー側の公式アカウントの設定情報(ブロック・非表示・通知 OFF 等)、公式アカウント名、料金プラン等
11,728 件(うち日本ユーザー10,388 件)(A2) ⑷ LINE 公式アカウントに関する情報
・ 公式アカウントの内部識別子/国、メッセージの送信試行/送信成功回数、メッセージの送信日時等
33 件(うち日本ユーザー22 件)(A’1) ⑶ LINE 公式アカウントに関する情報
・ 公式アカウントの内部識別子、公式アカウントの名称/カテゴリ情報、公式アカウントの料金プラン、公式アカウントの友だち数等
10,111 件(うち日本ユーザー73 件)(A’2) ⑵ LINE 公式アカウントに関する情報
20231127_appendix_ja.pdf
・ 配信対象グループの内部識別子/名称/作成日時、配信対象グループの配信対象ユーザー数、公式アカウントの国、公式アカウント名称等
14 件(うち日本ユーザー6 件)
3-5. いろんなサービスの利用状況や登録情報
⑸ LINE で予約に関する情報
LINE で予約のアカウント開設者名、提携パートナータイプ、公式アカウント件数、予約数、ユーザー数等
386 件(うち日本ユーザー386 件)⑹ LINE App/Platform に関する情報
⑺ LINE ミニアプリに関する情報
⑻ LINE ギフトに関する情報
⑼ LINE NEWS に関する情報
⑽ LINE アンケートに関する情報
⑾ LINE MUSIC に関する情報
⑿ LINE Commerce Platform に関する情報(台湾のみ)
⒀ LINE TODAY に関する情報(台湾のみ)
⒁ LINE Ads Platform に関する情報(台湾のみ)⒃ LINE Developers に関する情報
4. その他のサービス・機能に関する情報
⒂ その他のサービス・機能に関する情報
・ LINE ユーザー内部識別子/国/OS、
・hash 化された電話番号/メールアドレス/LINE ID *3、
・LINE アプリのバージョン情報等
30,835 件(うち日本ユーザー30,105 件)*3 特定の文字列や数字の羅列を一定のルールに基づき、不可逆的に暗号化した電話番号 79 件(うち日本ユーザー3件)、メールアドレス 16 件(うち日本ユーザー4 件)、LINE ID17 件(うち日本ユーザー1 件)