世界一あ＊な、

日本のすべての秘密と

 

すべての資産を

 

韓国に握られている、

 

世界一、”あ＊”な

 

日本国民と、日本政府。

＝＝＝＝＝＝＝＝＝＝＝＝

ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」

馬本 寛子

 

日経クロステック／日経コンピュータ

 

 

ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」 | 日経クロステック（xTECH） (nikkei.com)

 

 

 

総務省は2024年3月5日、「通信の秘密」の漏洩でLINEヤフーを行政指導した。対象は同社が2023年11月27日に公表した情報漏洩である。業務委託先のマルウエア感染を契機に旧LINEのシステムへの侵入を許した。システムの管理をNAVER子会社に委ね、原因を即座に特定できない状態だった。総務省は行政指導で資本関係の見直しにまで言及する異例の事態となっている。

　「電気通信事業全体に対する利用者の信頼を大きく損なう結果となったものであり、当省として極めて遺憾である」

　総務省は2024年3月5日、電気通信事業法で定める「通信の秘密」の漏洩があったとして、LINEヤフーを行政指導した。同時に公表した資料では10ページにわたり、LINEヤフーにおける安全管理措置や委託先管理の不備などを指摘。さらには親会社との資本関係の見直しにまで言及した。総務省の強い憤りがにじみ出た異例の行政指導となった。

　LINEヤフーが行政指導を受けたのは、同社が2023年11月27日に公表した情報漏洩である。セキュリティー関連のメンテナンス業務を委託していた企業でマルウエア感染が発生し、これを契機に旧LINEのシステムが不正アクセスを受けた。ユーザー関連で30万2980件、取引先関連で8万6211件、従業者関連で13万315件の計約52万件の情報が漏洩した。通信の秘密に該当する情報も2万2239件含まれていた。

　2024年2月14日には、監視体制を強化する中で別の不正アクセスが発生していたことも判明したと明らかにした。委託先2社のアカウントを不正に利用され、顔写真を含む5万7611件の従業者関連情報が漏洩していた。同社は総務省が行政指導で要請したシステム対応に最長3年程度かかるとするが、対策の抜本的な見直しと早期実行が求められる。

個人情報保護委員会がLINEヤフーに行政指導、個人データ52万件流出受け

　LINEユーザーや従業員などの最大で約52万件の個人データが漏洩した問題を受け、個人情報保護委員会は2024年3月28日、個人情報保護法に基づきLINEヤフーを行政指導（勧告）したと発表した。再発防...

2024/03/28

NAVER Cloud経由で侵入

　LINEヤフーは旧Zホールディングスと子会社の旧LINE・旧ヤフーが合併して2023年10月に誕生した。同社が2023年11月に公表した情報漏洩は、旧LINEのシステムで発生したものになる。旧LINEは韓国NAVERの子会社だった当時から韓国NAVER Cloudのプラットフォームを利用しており、一部インフラの構築や運営を同社に委託していた。このため、NAVER Cloudは旧LINE環境への広範なアクセスが認められていたという。

　不正アクセスの発端は旧LINEとNAVER Cloudの共通の委託先で発生したマルウエア感染だった。委託先の従業者が感染端末でNAVER Cloudの社内システムに接続し、認証基盤であるActive Directory（AD）サーバーもマルウエアに感染した。旧LINEのシステムの運用保守を行うため、NAVER CloudのADサーバーには旧LINEの従業員のIDやパスワードなども管理・保存されていた。さらに、侵入を許した旧LINEの社内システムには二要素認証を導入していなかった。こうした要素が、旧LINEへの侵入につながったと見られる。

　不正アクセスを受けた社内システムについてLINEヤフー広報は「LINEの各サービスなどを分析するデータ分析システム」と説明する。LINEで提供するサービス運営のために必要なユーザー情報を同サーバーに保管しており、LINEユーザーが利用するサービス用の本番環境は別途、ネットワークを切り離した環境に構築している。「本番環境に不正アクセスは無かった」（LINEヤフー広報）。

 

 

 

図 LINEヤフーが2023年11月27日に公表した情報漏洩の概要

 

 

 

NAVER Cloudのシステムを介して旧LINEの社内システムに侵入された（出所：LINEヤフーへの取材を基に日経コンピュータ作成