LINEヤフーに行政指導 約52万件の情報漏えいで 「改善が見られなければ、より強い措置も」と松本総務大臣
LINEヤフーに行政指導 約52万件の情報漏えいで 「改善が見られなければ、より強い措置も」と松本総務大臣
総務省は3月5日、2023年10月に発生したLINEヤフーへの不正アクセスによる情報漏えい事案について行政指導を行った。松本剛明総務大臣は「少なくとも1年間にわたって定期的に報告するように求める」と厳しい姿勢で臨む考えを示した。
LINEヤフーは23年11月、第三者による不正アクセスを受け、ユーザーや取引先、従業員などの情報が漏えいしたと公表。不正アクセスの具体的な経路は厳密に特定できていないが、同社と関連会社のNAVER Cloudが業務委託していた会社の従業員のPCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセスにつながった。
流出した情報は約52万件で、特定者間のやり取りなど“通信の秘密”に該当する情報も2万2239件含まれていた。総務省は、この事案を電気通信事業法で規定する“通信の秘密の漏えい”と認定。事案が発生した要因として、1)システムやネットワーク構成などでNAVER側への強い依存、2)不十分な技術的安全管理措置、3)業務委託先の不適切な管理監督、4)セキュリティガバナンスの不備の3点を挙げている。
このうち、1)については、LINEヤフーは旧LINEの前身であるNHN JapanがNAVER子会社だった経緯もあり、事案発生時もNAVER Cloudに対して広範なネットワークアクセスを許容していたと指摘。「相当に強い依存関係が存在していたものと認められる」という。なお、LINEヤフーはNAVER Cloudとのネットワークを分離するなど安全管理措置を見直す方針を明らかにしている。
LINEヤフーに対しては今後、1)安全管理や委託先管理の抜本的な見直しと対策の強化、2)親会社などを含むグループ全体でのセキュリティガバナンスの本質的な見直しと強化、3)利用者対応の徹底を求める。LINEヤフーは、定期的に総務省へ進捗を報告することになる。
5日の閣議後の会見で松本総務大臣は、21年4月にも旧LINEが行政指導を受けたことを指摘。「(LINEヤフーには)少なくとも1年間にわたって定期的に報告するように求めてまいります。改善が見られず、同様な事案が発生する場合には、より強い措置を実施することも視野に入れて、監督を行ってまいりたいと思っております」と話した。
その後、調査により漏洩件数は約51万9000件に拡大しました。
漏洩情報
氏名
電話番号
メールアドレス
生年月日
性別
住所
パスワード(一部)
取引先情報
影響
漏洩した情報は、悪用により、フィッシング詐欺やなりすまし、個人情報の売買などに利用される可能性があります。
対応
LINEヤフーは、以下の対応を行っています。
関係機関への報告
漏洩した可能性のあるユーザーへの通知
パスワードの変更依頼
再発防止策の策定
行政指導
2024年3月、総務省はLINEヤフーに対し、情報管理体制の不備を理由に行政指導を行いました。
最新情報
2024年2月14日、LINEヤフーは追加の情報漏洩と再発防止策を発表しました。
2024年3月5日、総務省はLINEヤフーに対し、経営体制に踏み込む行政指導を行いました。
今後の見通し
LINEヤフーは、再発防止策を実行し、情報管理体制の強化に努める必要があります。
また、被害を受けたユーザーは、二次被害に注意する必要があります。
<このニュースへのネットの反応>