「LINE Creators Market」のアップロードファイルが外部からアクセス可能な状態に

LINE株式会社は11月18日、LINEスタンプを制作・販売できるプラットフォーム「LINE Creators Market」にてクリエイターがアップロードしたファイルがインターネット上からアクセス可能な状況であったことが判明したと発表した。

これはサービス開始当初の2014年4月17日から2020年10月31日まで、「LINE Creators Market」（https://creator.line.me/ja/）にて、クリエイターがアップロードしたファイルには個人情報が含まれている場合があるため同サービスのクリエイター審査担当部署のみが閲覧可能とすべきところ、URLを知り得ていれば認証不要で第三者がアクセスが可能であったというもの。同ファイルは、インターネット上のファイル保存を行う「web archive」でも収集されインターネット上で閲覧可能な状態となっていたことを確認している。10月27日に、LINE Security Bug Bounty Programの参加者から事象の通知を受け発覚した。

閲覧件数については、ログ保存期間外（2016年3月以前）のアクセスは不明だが、ログ保存期間内（2016年3月以降から2020年10月31日）で実際に外部から83件のアクセスを確認、また、同社による審査作業の一環としてのアクセスとログから推定可能だが正確な断定には至らないものが2,408件ある。なお、「LINE Creators Market」にて、スタンプの審査申請時に著作権や肖像権の許諾を証明する「ライセンス証明」ファイルを添付する機能があり、審査のやり取り時にクリエイターと授受の発生するファイルも含まれ、当該ファイルにはクリエイター登録時の氏名や住所等の個人情報が含まれることがある。

同社では外部からのアクセスを確認できた83件に該当するユーザーに対し、個別に事象の通知と説明を実施している。

同社では、ファイルを格納したサーバに対するネットワーク認証制御が不十分であったことがファイル漏えいの要因ととしており、漏えいが発生したファイルのURLはランダムかつ十分な長さがあり第三者の推測等は困難であったが、「web archive」への保存や外部アクセスが多数発生した要因としては、なんらかの経路でファイルのURLが漏えいしたものと推測している。

同社によると10月27日時点で、「LINE Creators Market」でアクセス可能なっていたファイルは外部からのアクセスを遮断、「web archive」に対しても削除依頼を行っており10月31日時点で削除完了している。