LINE GAMEにおける払戻し申請ユーザーの個人情報漏洩に関するお知らせとお詫び
2020.09.25
1. 概要
2018年4月12日より2020年9月20日までの期間、LINE GAME 終了タイトルに対する払戻し申請フォーム(※1)にてご登録いただいた個人情報が、インターネット上のWebサイトのスキャンサービス(※2)においてアーカイブ状態で露出されていたことを確認しました。
- 2014年6月16日 から 2018年4月12日まで: 払戻し専用顧客管理システムにおいてアクセス制御不備の不具合が存在
- 2018年4月12日 から 2020年9月20日まで: アーカイブ機能を備えたWebサイトのスキャンサービスにおける個人情報の露出
2018年4月12日、内部点検において、上記の払戻し専用顧客管理システムが、本来、作業担当者のみアクセス可能であるべきところ、アクセス制御不備によりインターネットからアクセス可能な状態であった事が確認されました(※3)。この問題は直ちに修正が行われましたが、その際のLINE社内における調査作業の過程において過誤があり、当時の管理システム上での掲載内容が、上記のWebサイトのスキャンサービスにアーカイブとして掲載された状態となっておりました。
本件は、当該スキャンサービスを通じた個人情報の漏洩を LINE Security Bug Bounty Program を通じて報告いただいたことにより判明いたしました。今回、個人情報の漏洩の対象となった18名のお客様には、公式アカウント「LINE」及び払戻し申請フォームにご登録いただいたメールアドレスを通じて、本件の状況説明と併せて、お詫びのご連絡をさせて頂きました。本件にて影響をうけたお客様には、多大なるご心配とご迷惑をおかけしました事を、心よりお詫び申し上げます。
※1 https://refund.line.me/
※2 https://urlscan.io/ Webサイトのスキャンサービスとは、Web上のサービス等に対して代理アクセスするためのサービスです
※3 払戻し専用顧客管理システムには、2014年6月16日の第一回払戻し申請の受付時から不具合が存在していたものと認識しておりますが、現在のところ2018年4月12日以前には外部からのアクセスは無かったものと認識しております。
2. 本事案における影響について
本事案において、現在確認されている露出期間と規模は以下の通りです。
- 期間: 2018年4月12日〜2020年9月20日
- 件数: 18名分
- 情報の種類: メールアドレス、銀行口座情報(銀行コード、銀行名、支店名、支店番号、口座種別、口座番号)、LINEアプリ上のユーザー内部識別子、LINE GAME関連情報(LINE GAME内にて利用可能な有償一次通貨の残高数、有償二次通貨の残高数、レシート番号(システム内管理番号)、LINE GAMEアプリ内部識別子、LINE GAMEアプリ上のユーザー内部識別子、払戻し受付日)
露出した情報に対するアクセス回数
- 2018年4月12日 Webサイトのスキャンサービス(urlscan.io) に加え、外部から5件のアクセスが発生しておりました。こちらはスキャンによって露出した情報に起因して外部から自動化されたアクセスがあったものと判断しております。
- 2020年9月20日より、直近の期間内においては、LINE社員と Bug Bounty Program 報告者以外からの外部アクセスは確認されませんでした。
3. 現在までの対応状況について
漏洩情報の削除の実施
- 2020年9月20日時点で、当該スキャンサービスに保持されていたアーカイブの削除要請を実施し、漏洩していた情報にはアクセスできない状況となっております。
- 検索エンジンのキャッシュや、各種アーカイブサイトにて、漏洩していた情報が保存されていないかの確認を実施いたしました。
- 当該スキャンサービスにおいては、アーカイブされていた情報の完全な削除を実施していただいております。また、Bug Bounty Program 報告者に対しても取得された個人情報を削除していただいております。
アクセス状況の精査を実施
- 2018年4月12日時点でのアクセス制御不備の問題に関して、当時の当社サーバーに対するアクセスログの再精査を実施いたしました。
- 当該スキャンサービスの運営会社のご協力を頂き、アーカイブされていた情報に対するアクセス状況の調査を実施いたしました。
尚、継続の調査結果にて、新たな情報が判明した場合には、本ページの更新にて報告させて頂きます。
4. 露出発覚からの対応時系列(日本時間)
- 2018年4月12日 16:01 LINE社員が、払戻し専用顧客管理システムにおいて、外部からアクセス可能であることを確認
- 2018年4月12日 16:10 調査過程での過誤により、当時の管理システム上での掲載内容が、Webサイトのスキャンサービスにアーカイブとして保存された状態となる
- 2018年4月12日 17:01 払戻し専用顧客管理システムを遮断
- 2020年9月20日 03:10 LINE Bug Bounty Programを通じて、個人情報の漏洩に関する報告を受信
- 2020年9月20日 03:35 漏洩していた情報の削除をWebサイトのスキャンサービスに要請
- 2020年9月20日 15:26 Webサイトのスキャンサービスに対して追加で情報削除の依頼、及び、ログ調査に関する協力要請の開始
- 2020年9月25日 14:00 影響を受けた18名のお客様へのご連絡
5. 更新履歴
2020年9月25日公開
2020年9月30日アクセス制御不備の不具合の存在期間、及び、第一回払戻し申請受付時の日付に誤りがあったため訂正いたしました。
訂正前「2016日6月16日」 訂正後「2014年6月16日」
6. 本件に関するお問い合わせ
本件に関するお問い合わせは、下記お問い合わせフォームよりご連絡ください。
https://contact-cc.line.me/lg/detailId/13959
改めまして、お客様に多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、今後の再発防止とセキュリティ強化に取り組んでまいります。