LINEギフトで情報漏えい 8年間にわたり ユーザーに告知も「意味が分からない」の声
ユーザー同士でギフトを送りあえる「LINEギフト」に「不適切なデータの取り扱い」。2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題。
LINEは4月17日、ユーザー同士でギフトを送りあえる「LINEギフト」で「不適切なデータの取り扱いがあった」と発表した。
2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題があったという。現時点で個人情報の不正利用など二次被害は発生していない。
LINEは同日、ユーザーにメッセージを送り、詳細を記載したURLを伝えた。ただ、告知の文章が非常に長い上に専門的な内容も含まれており「意味が分からない」などの声も出ている。
ギフトの受け取り主への情報漏えい
告知によると、問題が発生していたのは2015年2月ごろから、2023年3月9日にわたる約8年間。2月の社内調査で発覚した。「誤った実装」が原因という。
「ユーザーがLINEギフト上で一定の操作を行った」場合、ギフトを送ったユーザー情報のうち、伝えるべきでない情報が、受け取るユーザーへの通信内容に含まれていた。
通信内容に含まれていたのは、送り主が、LINEアプリ上で変更した受け取り主の名前(あだ名など)や、ユーザー内部識別子(LINEアプリ内でユーザーを識別するためのもので、LINE IDではない)、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。
ショップへの情報漏えい
さらに、2016年2月ごろから2023年2月21日にかけ、LINEギフトなどの出店ショップが、管理システムからダウンロードできる受注データのCSVファイルにも、ショップが知るべきでない送り主の情報が含まれていたという。
含まれていたのは、送り主が、LINEアプリ上で変更した友だちの名前(あだ名など)、ユーザー内部識別子、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報など。ショップには、該当データの消去を依頼したという。
加えて、2015年11月ごろから2023年2月22日にかけて、出店ショップが管理するGoogle Analyticsに、ユーザーの端末の種類やリファラー情報などを、ユーザーへの説明がない状態で提供していた。
リファラー情報には、URL内のパラメータとして、送り主が、LINEアプリ上で変更した友だちの名前(あだ名など)や、商品を探した際の検索語句、LINEギフト立ち上げ時にシステム側からURLに自動で付与している認証情報などが含まれていたという。ショップには、該当データの消去を依頼したという。
【訂正:2023年4月18日午前9時20分 ショップの漏えい内容の項目で当初「送り主が、LINEアプリ上で変更した受け取り主の名前(あだ名など)」としていましたが、実際は、受け取り主の名前でなく「送り主の友だち」の名前でしたので、訂正しました。】
関連記事
- LINEのデータ管理問題、特別委員会が最終報告書 「経済安全保障への対応が不十分だった」
メッセージアプリ「LINE」のユーザー情報などが業務委託先の中国のLINE子会社からアクセスできる状態になっていた問題などについて、Zホールディングスが設置した、外部有識者による特別委員会は、最終報告の記者説明会を開き、最終報告書を提出した。 - LINEの個人情報問題、本当の“問題”はどこにあったのか
LINEの記者会見に出席したITジャーナリスト西田宗千佳さんが、問題の本質を論じる。 - LINEの個人情報、中国の開発委託先から閲覧可能に 「説明不足だった」と謝罪
LINEは、メッセージアプリ「LINE」を日本で使う人の個人情報などが、アプリのシステム開発を委託していた中国企業からアクセスできる状態だったと明らかにした。既に閲覧できないように対策済み。 - 東京都、LINE Creditに業務改善命令 年収の3分の1を超える貸し付け、個人情報漏えいなど問題視
個人への過剰な貸し付け、返済能力の調査義務違反、個人情報の取り扱い不備などがあったとして、東京都がLINE Creditに業務改善命令を出した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.