LINEギフトや終了済みのECサービスで不適切なデータ取り扱いが判明 | ScanNetSecurity
2024.05.17(金)

LINEギフトや終了済みのECサービスで不適切なデータ取り扱いが判明

LINEは、「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」を発表した。

インシデント・事故 インシデント・情報漏えい
facebookLINE

 LINE株式会社は4月17日、「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」を発表した。LINEギフトおよび過去にLINEが提供をしていたECサービスにおいて、不適切なデータの取り扱いがあったことを確認したというもの。

 1:LINEギフトユーザー利用時の通信における事象について

 ユーザーがLINEギフト上で一定の操作を行った際に、送り主の情報が通信内容に含まれていたというもの。本来は受取り主に伝えるべきではない情報であるが、通信内容を分析することで閲覧が可能な状態になっていた。

 この事象の発生期間は、2015年2月頃から2023年3月9日までで、誤った実装が原因。ギフトの受取り主が受け取ったギフトの一覧および詳細を表示する場合と、配送を必要とするギフトを受け取った受取り主がギフトの配送先住所の入力を完了する場合に、この事象が発生していた。

 閲覧可能な状態にあった情報は次の通り。
・送り主の「LINE」アプリ上における受取り主の表示名(送り主が「LINE」アプリ上において手動で変更した受取り主の名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された受取り主の名前)
・送り主がギフト購入時に利用または獲得可能だったクーポンの情報
・送り主の遷移元
・送り主の経由元
・送り主の流入元
・送り主が「LINE上の友だち」(以下「友だち」)の誕生日ページを経由してきたかどうか

 「遷移元」に含まれていた情報の例:
・送り主の友だちの情報(表示名、送り主が「LINE」アプリ上において手動で変更した送り主の友だちの名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された送り主の友だちの名前、 ユーザー内部識別子、プロフィール画像)
・送り主が商品を探すために用いた検索語句
・送り主がメッセージ作成画面を表示の際に選択していたメッセージカードテンプレート種類識別子
・アクセス解析のために付与されたパラメータ等
・当社システムから自動で付与される、利用者の識別のための認証情報

 2023年4月17日時点で、個人情報の不正利用などの二次被害の発生は確認されていない。また、LINEギフトを通常の方法で利用している範囲においては、これらの情報が利用者の端末内に残ることはないため、今後、二次被害が生じるおそれはないとしている。

 2:LINEギフトおよび提供を終了したECサービスの出店ショップ向け管理システムにおける事象について

 2016年2月頃から2023年2月21日まで、LINEギフトおよび、同社のECサービス(LINE FLASH SALE・アカウントコマース等:現在は提供を終了)に出店していたショップが管理システムからダウンロードできる受注データのCSVファイルの中に、注文者の「遷移元」データが誤って含まれていた。

 「遷移元」に含まれていた情報の例:
・注文者の友だちの情報(表示名、注文者が「LINE」アプリ上において手動で変更した注文者の友だちの名前、または注文者の端末のアドレス帳から「LINE」アプリに反映された注文者の友だちの名前、ユーザー内部識別子、プロフィール画像)
・注文者が商品を探すために用いた検索語句
・注文者がメッセージ作成画面を表示の際に選択していたメッセージカードテンプレート種類識別子
・アクセス解析のために付与されたパラメータ等
・当社システムから自動で付与される、利用者の識別のための認証情報

 なお、2023年2月21日時点で、該当データのショップへの提供は停止している。また2023年3月17日時点で、過去に該当データを取得した可能性のあるショップに対し、該当データの消去を依頼している。2023年4月17日時点で個人情報の不正利用などの二次被害の発生は確認されていない。

 3:ショップの管理するGoogle Analyticsへの情報送信について

 2015年11月頃から2023年2月22日まで、LINEギフトおよび、同社のECサービス(LINE FLASH SALE・アカウントコマース等:現在は提供を終了)において、ショップが管理するGoogle Analytics(アクセス解析ツール)上でLINEギフト内の自店ページのアクセスデータを閲覧できる機能をユーザーへの説明がない状態で提供していた。

 ショップからGoogle Analytics上で閲覧可能となっていた項目:
・LINEギフト内の当該ショップが管理するページのURL(ショップのトップページや商品ページ等)と、そのアクセス数等のデータ
・ユーザーが上記ページに遷移する前に訪問していたURLやその分類情報(リファラー情報):訪問URLやリファラー情報には、URL内のパラメータとして、「遷移元」で挙げた情報が含まれる場合がある。
・上記ページ訪問者のアクセス元の地域や、端末の種類、商品購入に関する情報(商品ID、注文ID、商品価格、注文個数、支払金額)等

 なお、2023年2月22日時点で、ショップに対する本機能の提供は停止している。また2023年3月31日時点で、過去に本機能を利用した可能性のあるショップへ、Google Analytics上でのデータの消去を依頼している。2023年4月17日時点で個人情報の不正利用などの二次被害の発生は確認されていない。

 同社では、問い合わせ用のフォームを用意している。

《吉澤 亨史( Kouji Yoshizawa )》

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  5. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  6. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  7. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  10. スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

    スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

ランキングをもっと見る
ホーム インシデント・事故 インシデント・情報漏えい 記事
TOP