プロジェクトオーガナイザの吉田聖書です。
11月27日に、LINEヤフー株式会社がコーポレートサイトにお知らせを掲載しまして、40万件以上の個人情報が漏洩したと発表しました。
不正アクセスによる、情報漏えいに関するお知らせとお詫び(2023/11/27 LINEヤフー株式会社)
発生の経緯としては、まず、委託先企業の従業員のPCがマルウェアに感染したそうです。委託先の具体的な会社名は書かれていませんが、LINEヤフー社の共通認証基盤という言葉が書かれていますので、元々その共通認証基盤を利用しているグループ会社だったか、あるいはまったく関連はないんだけれども特別にアクセスを許可していたかということでしょう。後者だとするとかなり深いレベルで業務を委託していたということになりますね。
また、文面からマルウェアに感染したPCは個人PCではなく委託先企業のPCであると推測します。そのマルウェアが具体的に何かということは書かれていませんが、恐らく外部からそのPCにアクセス出来て、少なくともそのPCの利用者の権限でできることは全てできる状態になっていたのだろうと思われます。
そして攻撃者がそのPC経由で旧LINE社の社内システムに侵入し、そこで管理されていた個人情報にが漏洩したということです。漏洩とありますけれども、単に不正に参照されたということなのか、何かファイルを転送された痕跡があったのかまでは書かれていません。
そういう状況ですのであくまでも可能性も含めて漏洩した個人情報の件数として、LINEのユーザー情報が約30万件、取引先等の情報が約8万6千件、従業員情報が約5万1千件、トータルで40万件以上という数字が発表されています。あくまでも可能性としてではありますが、逆にすべて漏洩した可能性もありますので、そうだとしたらかなり大規模なものです。
漏洩した情報の中に銀行口座とかクレジットカードの情報は含まれていないとしながらも、2次被害の恐れがあると判断したユーザーに対しては個別に連絡するそうです。加えて、この事故に関連してフィッシング詐欺のメッセージが横行するかもしれない旨、注意が喚起されています。こういった注意喚起は大切なことですよね。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
今回のお知らせは、もちろんユーザーとかプレス向けだからということもあるのかもしれませんが、被害状況ついてはかなり細かく書かれています。一方で、事実関係の技術的な側面はあまり細かく書かれていません。
例えば、不正アクセスが行われたのが10月9日で、検知したのが10月17日だそうです。これ、結構時間が経ってますよね。一週間経過しています。なぜ検知まで時間がかかったのか、逆になぜ一週間後には検知できたのかという点は、同様に社内システムを運用している管理者だったら知りたいところですよね。
また、委託先企業のPCがマルウェアに感染したとありますが、いつ、どのような経緯で感染したのでしょうか。感染した時には検知できなかったのに、今回どのような調査をして感染を確認したのでしょうか。この辺りの情報もセキュリティの担当者だったら知りたいところですよね。社内の脆弱性を曝す必要はないですが、社会にとって有用な情報はぜひ公開していただきたいと思いました。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。