LINEは、ソフトウェア開発のプラットフォームである「GitHub」上で、一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていたことを報告。

閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれていないとし、現時点でユーザーへの影響は確認されていないとのことだ。

同社は、「本件につきまして、下記の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます」と謝罪。

現在、閲覧できる状態にあった当該情報は削除し、該当ユーザーへの通知を行っているとしている。

1.発生した事象

同社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を実施。その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を同社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていたとのことだ。

当該情報に対するアクセス状況の調査の結果、部外者からのアクセスがあったことを確認。また、現時点で当該情報が検索エンジンやアーカイブサイト上に残存していないことを確認しているとのことだ。

2.発生規模

  • 閲覧できる状態にあった期間:2021年9月12日15時13分頃~2021年11月24日18時45分
  • 当該情報の期間: 2020年12月26日~2021年4月2日
  • 対象のアカウント数:51,543アカウント(日本国内のLINE Payユーザー)
    ※海外のグループ会社で展開されているLINE Payユーザーを含めると133,484アカウント
  • 当該情報の内訳:対象ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコード等)
    ※キャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれる場合がある。
    ※氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれていないとのこと。
  • 当該情報に対するアクセス件数:11件
    ※同社による調査のためのアクセスを除く、部外者からのアクセス件数

3.経緯と対応(日本時間)

2021年11月24日18時27分 社内のモニタリング業務を通じて、「GitHub」上の当該情報を検知
2021年11月24日18時37分 「GitHub」上の当該情報を確認
2021年11月24日18時45分 「GitHub」上の当該情報の削除を完了
2021年11月30日13時05分 「GitHub」上の当該情報に対するアクセス状況および二次拡散状況の調査を完了
2021年12月 6日16時00分頃   該当ユーザーへの通知を実施

4.同件に関するユーザーの問い合わせ

同件の該当ユーザーには、LINE Payの利用通知を送っている「LINE ウォレット」の公式アカウントから個別に案内。なお、同社にて必要な対応を完了しているとし、該当ユーザーに対し、お願いする事項はないが、同社を装ったメッセージに注意するよう呼びかけている。

今後、情報取り扱いの社員教育をさらに徹底し、その他の対応策も検討を進め、再発防止につとめていくとのことだ。