LINEヤフーに行政指導 約52万件の情報漏えいで 「改善が見られなければ、より強い措置も」と松本総務大臣

[ITmedia]

　総務省は3月5日、2023年10月に発生したLINEヤフーへの不正アクセスによる情報漏えい事案について行政指導を行った。松本剛明総務大臣は「少なくとも1年間にわたって定期的に報告するように求める」と厳しい姿勢で臨む考えを示した。

　LINEヤフーは23年11月、第三者による不正アクセスを受け、ユーザーや取引先、従業員などの情報が漏えいしたと公表。不正アクセスの具体的な経路は厳密に特定できていないが、同社と関連会社のNAVER Cloudが業務委託していた会社の従業員のPCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセスにつながった。

　流出した情報は約52万件で、特定者間のやり取りなど“通信の秘密”に該当する情報も2万2239件含まれていた。総務省は、この事案を電気通信事業法で規定する“通信の秘密の漏えい”と認定。事案が発生した要因として、1）システムやネットワーク構成などでNAVER側への強い依存、2）不十分な技術的安全管理措置、3）業務委託先の不適切な管理監督、4）セキュリティガバナンスの不備の3点を挙げている。

　このうち、1）については、LINEヤフーは旧LINEの前身であるNHN JapanがNAVER子会社だった経緯もあり、事案発生時もNAVER Cloudに対して広範なネットワークアクセスを許容していたと指摘。「相当に強い依存関係が存在していたものと認められる」という。なお、LINEヤフーはNAVER Cloudとのネットワークを分離するなど安全管理措置を見直す方針を明らかにしている。

　LINEヤフーに対しては今後、1）安全管理や委託先管理の抜本的な見直しと対策の強化、2）親会社などを含むグループ全体でのセキュリティガバナンスの本質的な見直しと強化、3）利用者対応の徹底を求める。LINEヤフーは、定期的に総務省へ進捗を報告することになる。

　5日の閣議後の会見で松本総務大臣は、21年4月にも旧LINEが行政指導を受けたことを指摘。「（LINEヤフーには）少なくとも1年間にわたって定期的に報告するように求めてまいります。改善が見られず、同様な事案が発生する場合には、より強い措置を実施することも視野に入れて、監督を行ってまいりたいと思っております」と話した。

　LINEヤフーは「行政指導を踏まえ、セキュリティガバナンス体制の強化に向けた検討を進めてまいります」としている。

指導文書の一部