LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデントセキュリティニュースのセキュリティ対策Lab

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント|セキュリティニュースのセキュリティ対策Lab](https://rocket-boys.co.jp/security-measures-lab/line-official-account-data-leak-repeated-incidents/)【合同会社ロケットボーイズ】(2025年12月11日) --- > [!NOTE] この記事の要約（箇条書き） - **LINE公式アカウントの情報漏洩（2025年12月発表）** - **概要**: 「LINE公式アカウント」のチャット機能および管理画面において、一部のユーザー・企業情報が誤って表示される可能性があった。 - **原因**: LINEと外部CDNサービス（Akamai）の仕様差異によるもので、当該CDNには脆弱性（CVE-2025-66373）が登録されていた。 - **条件と影響**: 「LINE Security Bug Bounty Program」参加者が検証を行っていた特定の時間帯に、同じ通信経路でサービスを利用した場合に限定され、想定確率は0.001%以下。 - **漏洩の可能性のある情報**: ユーザーの内部識別子、ユーザーネーム、プロフィール画像、企業・店舗情報、LINEチャット上のテキストメッセージ（画像・動画は対象外）。 - **経緯**: バグ報奨金制度で発見され、CDN側の修正完了とゼロデイ攻撃の懸念解消後に公表。バグバウンティプログラムは一時停止。 - **LINEの過去の情報漏洩・不具合事例** - **2024年アルバム機能不具合**: 約13.5万人のアルバムサムネイルが他ユーザーのものと入れ替わって表示された。システムプログラムの不備が原因。 - **2023〜2024年サイバー攻撃による情報流出**: LINEヤフーで約52万件の情報流出の可能性。NAVER Cloudの子会社PC感染が原因で共有データベースに不正アクセス。総務省から行政指導。 - **2018〜2021年中国委託先からのアクセス問題**: 中国の委託先エンジニア4人が日本のサーバー上のユーザー情報（名前、電話番号、一部トーク内容など）にアクセス可能な状態だった。 - **2023年旧ヤフーによる位置情報提供**: 旧ヤフーが約410万件のユーザー位置情報を韓国ネイバーに提供。ユーザーへの周知や安全管理が不十分と指摘。 - **共通して見られる構造的課題** - 複雑な委託・連携構造に起因する問題。 - アップデートや新機能導入時のリスク管理不足。 - LINEが「生活インフラ」化したことによる影響の大きさ。 - 透明性と情報公開のスピードにおけるジレンマ。 > [!NOTE] 要約おわり --- 1. [セキュリティ対策ラボ](https://rocket-boys.co.jp/security-measures-lab/) 2. LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント ## LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント ![LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩インシデント](https://rocket-boys.co.jp/wp-content/uploads/2025/12/line-official-account-data-leak-repeated-incidents.png) LINEは2025年12月9日、企業・店舗向けサービス「LINE公式アカウント」において、一部のユーザー情報・企業情報が誤って表示される不具合が発生し、情報漏えい（可能性を含む）があったと公表しました。 ## 概要影響があったのは、以下の機能です。 - 「LINE公式アカウント」のチャット機能 **「LINEチャット」** - 企業・店舗とユーザーが1対1でやり取りする機能 - ユーザー同士の通常トークは対象外 - 「LINE公式アカウント」の管理画面原因は、LINEが利用している **外部CDNサービス(Akamai)の仕様** と、LINE側のデータ処理方式の違いによるものと説明されています。このCDNにはCVE-2025-66373として脆弱性が登録されており、その修正が完了しゼロデイ攻撃の懸念が解消されたことから、今回の公表に至りました。現時点で、漏えい情報の **不正利用など二次被害は確認されていない** としています。 ## 個人情報漏洩の範囲 ### 発生した条件と時間帯誤表示が起こり得た条件はかなり限定的です。 - 「LINE Security Bug Bounty Program」の参加者（検証者）が脆弱性検証を行っていた時間帯に、 - **同じ通信経路（ネットワーク）上で** 、「LINEチャット」または管理画面を利用していた場合が対象になります。具体的な時間帯（日本時間）は次のとおりです。 **LINEチャット** - 2025年9月19日（金） 9:00〜11:00 - 2025年9月24日（水）14:00〜18:00 - 2025年9月25日（木）11:00〜15:00 **管理画面** - 2025年9月24日（水）15時台 LINEによると、この時間帯において誤表示が発生した **想定確率は0.001％以下** とされています。 ### 誤って表示された／表示された可能性のある情報誤表示は、正しい相手とのやり取り画面に、本来とは異なるユーザー・企業の情報が紛れ込む形で発生しました。対象となる情報は次のとおりです。 **ユーザー情報** - 内部識別子 - ユーザーネーム - プロフィール画像など **企業・店舗情報** - LINE公式アカウントの管理企業（店舗）情報 - 管理者のプロフィール情報 - 配信メッセージに関する情報など **LINEチャット上のメッセージ** - 「LINE公式アカウント」とユーザーとの間で送受信されたテキストメッセージ - 画像／動画／ファイルは対象外問い合わせや予約、キャンペーン応募など、ユーザーが企業・店舗に送った内容が含まれている可能性があります。 ## 発覚から公表までの経緯今回の事案は、LINEが運営するバグ報奨金制度「LINE Security Bug Bounty Program」経由で発見されました。 - **9月19日** - バグバウンティ参加者から本事象の報告を受領し、調査を開始 - **9月24日** - 外部CDN事業者に調査を依頼、LINE側でも検証を実施 - **9月25日〜29日** - CDN側と調整しつつ、LINE側で止血対応を実施・完了 - **10月31日** - 漏えいが確認されていない経路も含めて予防措置を実施 - **11月17日** - CDN事業者側の修正完了を確認し、本事象は解消 - **12月4日** - CDN側が脆弱性情報（CVE-2025-66373）を公表 - **12月9日** - ゼロデイ攻撃の懸念がなくなったと判断し、LINEが利用者向けに事象を公表なお、今回報告を行った検証者は取得した情報を削除済みとされており、LINEは影響を受けた可能性のあるユーザー・企業に対して、不審な画面のスクリーンショット等が残っている場合は削除するよう呼びかけています。一方、バグバウンティプログラムでは「他ユーザーやサービスに影響する検証を禁止」しているにもかかわらず、今回はその範囲を越える検証が行われたとして、LINEは **2025年12月3日付で新規報告の受付を一時停止** しました。今後、安全性と実効性の両立に向け検証体制を見直すとしています。 ## LINEの過去の漏洩事件-2024年のアルバム機能不具合：13.5万人にサムネイル誤表示今回の事案の前にも、LINEでは複数の情報漏えい・不具合が発生しています。 2024年11月28日には、 **アルバム機能のサムネイル画像が他ユーザーのものと入れ替わって表示される不具合** が発生しました。 - 影響を受けたと推定されるユーザー数 - 日本国内：約12.5万人（2種合計） - 海外を含めると約13.5万人具体的には、 1. 他人のアルバムのサムネイルに、自分のアルバムのサムネイルが表示されたユーザー 2. 自分のアルバムのサムネイルに、他人のアルバムのサムネイルが表示されたユーザーの双方が存在しました。原因は、 **アルバムのサムネイル画像を作成するシステムのプログラム不備** です。LINEのアルバムでは、投稿から35日以上経過した画像を圧縮変換して長期保存しており、この圧縮データからサムネイルを生成する際、処理が集中した条件下で画像データが混在してしまいました。 - 影響は「アルバムのサムネイル画像」に限定され、 - アルバム内の元画像や、その他機能の画像閲覧には影響しないと説明されていますが、「自分の写真が知らない相手に見られたかもしれない」という心理的なインパクトは小さくありません。この事案については、総務省が電気通信事業法上の「通信の秘密の漏洩」にあたると判断し、30日以内の詳細報告を求めています。 ## LINEの過去の漏洩事件-2023年以降のサイバー攻撃・情報流出 ### サイバー攻撃で約52万件の情報流出（2023〜2024年） 2023年10月、LINE株式会社とヤフー株式会社などの再編で誕生した **LINEヤフー株式会社** は、サーバへのサイバー攻撃により約44万件（後に約52万件に訂正）の情報流出の可能性があると公表しました。 - 流出した恐れのある約52万件のうち、約30万件は利用者に関する情報 - 氏名などプロフィール情報を第三者が閲覧できる可能性のあるデータ - 性別、スタンプ購入履歴なども含まれる - 銀行口座、クレジットカード番号、トーク内容などは流出していないと説明原因は、日本のLINEヤフーと韓国の **NAVER Cloud Corporation** が、従業員・人事データ用ネットワークや一部ユーザー情報を共有していたことにあります。NAVER側の下請け業者のPCがマルウェアに感染し、そこから共有データベースへの不正アクセスが行われたとされています。総務省は2024年3月、度重なる情報漏えいを受けてLINEヤフーに行政指導を実施。ネイバーへのシステム依存を見直し、2026年末までにシステム分離を完了させる計画が示されましたが、提出された報告書に対しては「不十分」として再検討を求めています。関連： [LINEで発生した個人情報流出と漏洩のまとめ](https://rocket-boys.co.jp/security-measures-lab/11632/) ### 中国委託先からのアクセス問題（2018〜2021年）さらにさかのぼると、2018年〜2021年には、中国の業務委託先企業のエンジニア4人が、日本国内のサーバに保存されたユーザー情報にアクセスできる状態が続いていたことも判明しています。ここでは、 - 名前、電話番号、メールアドレス - 一部のトーク内容や保存メッセージ、画像などへのアクセスが可能だったとされ、「業務のための権限付与だった」と説明されつつも、大きな批判を招きました。 ### 旧ヤフーによる410万件の位置情報提供（2023年）関連会社では、旧ヤフーが2023年5〜7月の間、検索エンジン開発の一環として韓国ネイバーに **約410万件のユーザー位置情報** を提供していたことも明らかになっています。ユーザーへの事前周知や安全管理措置が不十分だったとして、総務省はヤフーに対し - ガバナンス見直し - ユーザーへの周知徹底 - 不同意時の選択肢 - 安全管理措置と検知体制の構築などを求めました。 ## 共通して見える構造的な課題これらの事案を並べると、いくつかの共通点が見えてきます。 1. **複雑な委託・連携構造** - CDN、クラウド事業者、海外グループ企業、業務委託先…と、多数のプレイヤーがデータ処理に関わっている - その境界で、仕様の差異や権限管理の甘さが露呈しやすい 2. **アップデート・新機能導入時のリスク管理** - アルバム機能のサムネイル不具合は、システム更新時のプログラム不備が原因 - 今回のCDN問題も、特定条件下でのみ発生する「見落としやすいバグ」 3. **プラットフォームの「生活インフラ化」に伴う影響の大きさ** - LINEは個人・企業問わず、日常的な連絡手段として定着している - その分、情報漏えいが「単なる技術トラブル」では済まなくなっている 4. **透明性とスピードのバランス** - ゼロデイ攻撃の懸念がある場合、すぐに詳細を公表できないというジレンマ - 一方で、ユーザーから見ると「またLINEか」という印象が蓄積しやすい ![](https://rocket-boys.co.jp/wp-content/uploads/2025/06/mimura-120x120.jpg) セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。