LINEヤフー、従業者などの個人データ約5.7万件が流出 不正アクセスに伴うモニタリング強化中に判明

[エースラッシュ，ITmedia]

　LINEヤフーは、2月14日に第三者による不正アクセスで従業者などに関する個人データの流出を発表した。

ニュースリリース

　同社は2023年11月27日、同社と同社子会社の委託先2社のアカウントが不正に利用され、システムへ第三者による不正アクセスが行われたと公表。その事案を元に調査とモニタリングを強化する中で、従業員に関わるデータを保有するシステムなどへの不正アクセスの形跡を把握し、漏えいした可能性があると判断したという。

　該当する情報は氏名、所属組織、メールアドレス、電話番号、社員番号、顔写真など5万7611件（推計値5万1224件を含む）で、発表時点で二次被害の報告は受けていない。また、本不正アクセスでユーザーと取引先に関する情報の漏えいは確認されていないとしている。今回漏えいしたメールアドレスへ第三者が不審なメールや詐欺メールを送信する可能性があるため、注意するよう呼び掛けている。

本事案の時系列対応（日本時間）

• 8月7日：委託先Aのアカウントが不正に利用され、当社社内システムへ不正アクセス開始
• 10月29日：2023年11月27日に公表した不正アクセス事案を踏まえ監視体制を強化、モニタリングを開始
• 11月1日：不正アクセスに利用されたアカウントを確認し、利用を停止。委託先Aへ付与している社内システム用アカウントを無効化
• 11月2日：攻撃者が利用したIPアドレスを遮断
• 11月16日：委託先Bへ付与していたアカウントを利用して、不正アクセスが行われたことを把握
• 11月16日：攻撃者が利用したIPアドレスを遮断。攻撃者が利用したVPN接続に必要になるアカウントを無効化

再発防止策も発表

　あわせて、11月27日に公表した不正アクセスを受けて策定した再発防止策を発表。委託先のセキュリティリスク評価方法を見直しに、外部の第三者の協力も得て、より実効性を高めたモニタリングや管理／監督方法を策定する。

　同社の関係会社である韓国NAVER Cloudと旧LINE社間のネットワークアクセスの管理を強化し、従業員向けシステムへのアクセス制御と制限を強化するため二要素認証の適用を標準とする。さらに、データ分析システムなどの重要なシステムに対し、アクセス制御のメカニズムが適切に機能していることを検証する目的で、追加的なセキュリティ診断を実施するという。