LINEギフトや終了済みのECサービスで不適切なデータ取り扱いが判明 | ScanNetSecurity
2024.04.29(月)

LINEギフトや終了済みのECサービスで不適切なデータ取り扱いが判明

LINEは、「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」を発表した。

インシデント・事故 インシデント・情報漏えい
facebookLINE

 LINE株式会社は4月17日、「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」を発表した。LINEギフトおよび過去にLINEが提供をしていたECサービスにおいて、不適切なデータの取り扱いがあったことを確認したというもの。

 1:LINEギフトユーザー利用時の通信における事象について

 ユーザーがLINEギフト上で一定の操作を行った際に、送り主の情報が通信内容に含まれていたというもの。本来は受取り主に伝えるべきではない情報であるが、通信内容を分析することで閲覧が可能な状態になっていた。

 この事象の発生期間は、2015年2月頃から2023年3月9日までで、誤った実装が原因。ギフトの受取り主が受け取ったギフトの一覧および詳細を表示する場合と、配送を必要とするギフトを受け取った受取り主がギフトの配送先住所の入力を完了する場合に、この事象が発生していた。

 閲覧可能な状態にあった情報は次の通り。
・送り主の「LINE」アプリ上における受取り主の表示名(送り主が「LINE」アプリ上において手動で変更した受取り主の名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された受取り主の名前)
・送り主がギフト購入時に利用または獲得可能だったクーポンの情報
・送り主の遷移元
・送り主の経由元
・送り主の流入元
・送り主が「LINE上の友だち」(以下「友だち」)の誕生日ページを経由してきたかどうか

 「遷移元」に含まれていた情報の例:
・送り主の友だちの情報(表示名、送り主が「LINE」アプリ上において手動で変更した送り主の友だちの名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された送り主の友だちの名前、 ユーザー内部識別子、プロフィール画像)
・送り主が商品を探すために用いた検索語句
・送り主がメッセージ作成画面を表示の際に選択していたメッセージカードテンプレート種類識別子
・アクセス解析のために付与されたパラメータ等
・当社システムから自動で付与される、利用者の識別のための認証情報

 2023年4月17日時点で、個人情報の不正利用などの二次被害の発生は確認されていない。また、LINEギフトを通常の方法で利用している範囲においては、これらの情報が利用者の端末内に残ることはないため、今後、二次被害が生じるおそれはないとしている。

 2:LINEギフトおよび提供を終了したECサービスの出店ショップ向け管理システムにおける事象について

 2016年2月頃から2023年2月21日まで、LINEギフトおよび、同社のECサービス(LINE FLASH SALE・アカウントコマース等:現在は提供を終了)に出店していたショップが管理システムからダウンロードできる受注データのCSVファイルの中に、注文者の「遷移元」データが誤って含まれていた。

 「遷移元」に含まれていた情報の例:
・注文者の友だちの情報(表示名、注文者が「LINE」アプリ上において手動で変更した注文者の友だちの名前、または注文者の端末のアドレス帳から「LINE」アプリに反映された注文者の友だちの名前、ユーザー内部識別子、プロフィール画像)
・注文者が商品を探すために用いた検索語句
・注文者がメッセージ作成画面を表示の際に選択していたメッセージカードテンプレート種類識別子
・アクセス解析のために付与されたパラメータ等
・当社システムから自動で付与される、利用者の識別のための認証情報

 なお、2023年2月21日時点で、該当データのショップへの提供は停止している。また2023年3月17日時点で、過去に該当データを取得した可能性のあるショップに対し、該当データの消去を依頼している。2023年4月17日時点で個人情報の不正利用などの二次被害の発生は確認されていない。

 3:ショップの管理するGoogle Analyticsへの情報送信について

 2015年11月頃から2023年2月22日まで、LINEギフトおよび、同社のECサービス(LINE FLASH SALE・アカウントコマース等:現在は提供を終了)において、ショップが管理するGoogle Analytics(アクセス解析ツール)上でLINEギフト内の自店ページのアクセスデータを閲覧できる機能をユーザーへの説明がない状態で提供していた。

 ショップからGoogle Analytics上で閲覧可能となっていた項目:
・LINEギフト内の当該ショップが管理するページのURL(ショップのトップページや商品ページ等)と、そのアクセス数等のデータ
・ユーザーが上記ページに遷移する前に訪問していたURLやその分類情報(リファラー情報):訪問URLやリファラー情報には、URL内のパラメータとして、「遷移元」で挙げた情報が含まれる場合がある。
・上記ページ訪問者のアクセス元の地域や、端末の種類、商品購入に関する情報(商品ID、注文ID、商品価格、注文個数、支払金額)等

 なお、2023年2月22日時点で、ショップに対する本機能の提供は停止している。また2023年3月31日時点で、過去に本機能を利用した可能性のあるショップへ、Google Analytics上でのデータの消去を依頼している。2023年4月17日時点で個人情報の不正利用などの二次被害の発生は確認されていない。

 同社では、問い合わせ用のフォームを用意している。

《吉澤 亨史( Kouji Yoshizawa )》

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  4. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  6. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  7. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  8. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  9. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム インシデント・事故 インシデント・情報漏えい 記事
TOP