LINEヤフー、新たに約5.7万件の情報漏えい 23年11月発表の流出は約52万件に拡大(2/2 ページ)
LINEヤフーは、第三者による不正アクセスを受け、約5.7万件の従業員情報が漏えいした(可能性含む)と発表した。11月に発表した約44万件の漏えいとは別事案で、11月発表分についても流出件数が約52万件に拡大したことも判明した。
再発防止策は?
11月に発生した事案は、LINEヤフーの関係会社である韓国NAVER Cloudの委託先かつ、LINEヤフーの委託先でもある企業の従業員が所持するPCがマルウェア感染したことに端を発する。同社は、原因として「委託先企業への安全管理措置」と「NAVERと旧LINE間のシステム・ネットワークのあり方」、「旧LINEにおける従業員システムのセキュリティ」に課題があったとしている。
そこで再発防止策として、委託先管理の強化と、NAVER Cloudとの認証基盤の分離を含むシステム・ネットワークのリスク解消・強化、従業員システムのセキュリティ強化の3つを実施する。
委託先については、セキュリティリスク評価方法を見直すとともに、外部の第三者の協力も得て、実効性を高めたモニタリングや管理・監督方法を策定。外部委託先が社内ネットワークにアクセスする場合の管理下PCの利用と、ネットワーク接続時の二要素認証の徹底を進める。またNAVER Cloud含む、原因となった委託先に対して、改善策の実施状況の確認と、必要に応じた管理の強化などを要請する。
システム・ネットワークのリスク解消については、NAVER Cloudと旧LINE間のネットワークアクセスの管理を強化。ファイアウォールの導入やセーフリスト化により、異常な接続や攻撃を防ぎつつネットワークを保護する仕組みを構築する。また、旧LINEの従業員向けシステムで共通化しているNAVER Cloudとの従業者情報を扱う認証基盤環境を分離し、LINEヤフー専用の認証基盤に移行。加えて、NAVER/NAVER Cloudとのシステム連携による不正アクセスのリスク解消のため、従業員向けシステム・ネットワークの分離も実施するという。
従業員向けシステムでは、アクセス制御と制限を強化するため、二要素認証の適用を標準化。さらに、データ分析システムなどの重要なシステムに対して、アクセス制御が適切に機能することを検証するための、追加的なセキュリティ診断を実施するとしている。
関連記事
- LINEヤフーで不正アクセス、約44万件の利用情報などが漏えい 委託先PCがマルウェア感染
LINEヤフーで、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明した。該当情報は合計で最大約44万件に上る。 - 情報流出のLINEヤフー、データカンファレンス延期 「合併に伴うデータソリューションの進化」など解説予定だった
LINEヤフーは、11月27日に発表したユーザー情報流出問題を受け、28日に予定していた、データソリューションに関するイベント配信を延期した。 - LINEの個人情報問題、本当の“問題”はどこにあったのか
LINEの記者会見に出席したITジャーナリスト西田宗千佳さんが、問題の本質を論じる。 - LINEギフトで情報漏えい 8年間にわたり ユーザーに告知も「意味が分からない」の声
ユーザー同士でギフトを送りあえる「LINEギフト」に「不適切なデータの取り扱い」。2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題。 - LINEのデータ管理問題、特別委員会が最終報告書 「経済安全保障への対応が不十分だった」
メッセージアプリ「LINE」のユーザー情報などが業務委託先の中国のLINE子会社からアクセスできる状態になっていた問題などについて、Zホールディングスが設置した、外部有識者による特別委員会は、最終報告の記者説明会を開き、最終報告書を提出した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.