LINEヤフー、従業者などの個人データ約5.7万件が流出 不正アクセスに伴うモニタリング強化中に判明
LINEヤフーは、第三者による不正アクセスで従業者などに関する個人データが5万7611件が漏えいした可能性があると発表。11月27日に公表した不正アクセス事案を元に、調査やモニタリングを強化する中で判明したという。
LINEヤフーは、2月14日に第三者による不正アクセスで従業者などに関する個人データの流出を発表した。
同社は2023年11月27日、同社と同社子会社の委託先2社のアカウントが不正に利用され、システムへ第三者による不正アクセスが行われたと公表。その事案を元に調査とモニタリングを強化する中で、従業員に関わるデータを保有するシステムなどへの不正アクセスの形跡を把握し、漏えいした可能性があると判断したという。
該当する情報は氏名、所属組織、メールアドレス、電話番号、社員番号、顔写真など5万7611件(推計値5万1224件を含む)で、発表時点で二次被害の報告は受けていない。また、本不正アクセスでユーザーと取引先に関する情報の漏えいは確認されていないとしている。今回漏えいしたメールアドレスへ第三者が不審なメールや詐欺メールを送信する可能性があるため、注意するよう呼び掛けている。
本事案の時系列対応(日本時間)
- 8月7日:委託先Aのアカウントが不正に利用され、当社社内システムへ不正アクセス開始
- 10月29日:2023年11月27日に公表した不正アクセス事案を踏まえ監視体制を強化、モニタリングを開始
- 11月1日:不正アクセスに利用されたアカウントを確認し、利用を停止。委託先Aへ付与している社内システム用アカウントを無効化
- 11月2日:攻撃者が利用したIPアドレスを遮断
- 11月16日:委託先Bへ付与していたアカウントを利用して、不正アクセスが行われたことを把握
- 11月16日:攻撃者が利用したIPアドレスを遮断。攻撃者が利用したVPN接続に必要になるアカウントを無効化
再発防止策も発表
あわせて、11月27日に公表した不正アクセスを受けて策定した再発防止策を発表。委託先のセキュリティリスク評価方法を見直しに、外部の第三者の協力も得て、より実効性を高めたモニタリングや管理/監督方法を策定する。
同社の関係会社である韓国NAVER Cloudと旧LINE社間のネットワークアクセスの管理を強化し、従業員向けシステムへのアクセス制御と制限を強化するため二要素認証の適用を標準とする。さらに、データ分析システムなどの重要なシステムに対し、アクセス制御のメカニズムが適切に機能していることを検証する目的で、追加的なセキュリティ診断を実施するという。
関連記事
- LINEヤフーで約30万件の個人情報が流出、PCのマルウェア感染→不正アクセスが原因
LINEヤフーは、第三者の不正アクセスにより、ユーザー情報、取引先情報、従業員などの情報が流出したことを告知した。同社の関係会社である韓国NAVER Cloudの委託先従業員のPCがマルウェアに感染したことが契機としている。10月27日の不正アクセスによるものの可能性が高いとしている。 - トビラシステムズ、特殊詐欺/フィッシング詐欺の独自調査レポートを公開 宅配事業者をかたるSMS文面が約9割に
トビラシステムズが、特殊詐欺/フィッシング詐欺に関する独自調査レポートを公開した。国際電話番号を利用した特殊詐欺が増加し、フィッシング詐欺のSMSは宅配事業者をかたる手口が89.1%を占めたという。 - PayPay、不正送金を防ぐための警告メッセージを掲示 「詐欺にご注意ください」
PayPayは11月14日、送金詐欺被害を防止するための警告メッセージを掲示すると発表した。同日、PayPayアプリに導入した。警告により、不正な送金詐欺をユーザーに認識してもらい、不正送金被害を未然に防ぐ狙い。 - auスマートパスプレミアムを強化 LINEやXで不正URLを検知
KDDIは、8月28日から順次「auスマートパスプレミアム」のサービスを強化。「あんしん」サービス機能の特集やクイズに正解すると抽選でお買い物クーポンがもらえる「auスマートパスあんしん月間」も開催する。 - Whoscall、不審なURLの危険度を判別する「URLスキャン」機能を提供
迷惑電話/SMS対策アプリ「Whoscall」は、不審なURLの危険度を判別してフィッシング詐欺被害を防ぐ「URLスキャン」機能を提供開始。不審なURLを入力すると「危険」「疑わしい」「安全」などリスクレベル別に結果が判定される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.