LINEギフトで情報漏えい 8年間にわたり ユーザーに告知も「意味が分からない」の声

[岡田有花，ITmedia]

LINEが該当ユーザーに送ったメッセージ

　LINEは4月17日、ユーザー同士でギフトを送りあえる「LINEギフト」で「不適切なデータの取り扱いがあった」と発表した。

　2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題があったという。現時点で個人情報の不正利用など二次被害は発生していない。

　LINEは同日、ユーザーにメッセージを送り、詳細を記載したURLを伝えた。ただ、告知の文章が非常に長い上に専門的な内容も含まれており「意味が分からない」などの声も出ている。

ギフトの受け取り主への情報漏えい

　告知によると、問題が発生していたのは2015年2月ごろから、2023年3月9日にわたる約8年間。2月の社内調査で発覚した。「誤った実装」が原因という。

　「ユーザーがLINEギフト上で一定の操作を行った」場合、ギフトを送ったユーザー情報のうち、伝えるべきでない情報が、受け取るユーザーへの通信内容に含まれていた。

　通信内容に含まれていたのは、送り主が、LINEアプリ上で変更した受け取り主の名前（あだ名など）や、ユーザー内部識別子（LINEアプリ内でユーザーを識別するためのもので、LINE IDではない）、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。

ショップへの情報漏えい

　さらに、2016年2月ごろから2023年2月21日にかけ、LINEギフトなどの出店ショップが、管理システムからダウンロードできる受注データのCSVファイルにも、ショップが知るべきでない送り主の情報が含まれていたという。

　含まれていたのは、送り主が、LINEアプリ上で変更した友だちの名前（あだ名など）、ユーザー内部識別子、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。ショップには、該当データの消去を依頼したという。

　加えて、2015年11月ごろから2023年2月22日にかけて、出店ショップが管理するGoogle Analyticsに、ユーザーの端末の種類やリファラー情報などを、ユーザーへの説明がない状態で提供していた。

　リファラー情報には、URL内のパラメータとして、送り主が、LINEアプリ上で変更した友だちの名前（あだ名など）や、商品を探した際の検索語句、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報などが含まれていたという。ショップには、該当データの消去を依頼したという。

【訂正：2023年4月18日午前9時20分　ショップの漏えい内容の項目で当初「送り主が、LINEアプリ上で変更した受け取り主の名前（あだ名など）」としていましたが、実際は、受け取り主の名前でなく「送り主の友だち」の名前でしたので、訂正しました。】