「LINE Creators Market」における個人情報漏えいのお知らせとお詫び
2020.11.18
1. 概要
サービス開始当初(2014年4月17日)より2020年10月31日まで、LINEスタンプを制作・販売できるプラットフォーム「LINE Creators Market」(https://creator.line.me/ja/)において、クリエイターの皆様がアップロードされたファイルがインターネット上からアクセス可能な状況となっておりました。
これらのファイルにはクリエイターの個人情報が含まれている場合があるため同サービスのクリエイター審査担当の部署のみが閲覧可能とすべきところ、URLを知り得ていれば認証不要で第三者によるアクセスが可能な状況となっておりました。
また、同ファイルについてインターネット上のファイル保存を行うサービスweb archiveにおいて収集されインターネット上で閲覧可能な状態となっていたことを確認いたしました。
「LINE Creators Market」でアクセス可能なっていたファイルについては2020年10月27日時点で外部からのアクセスを遮断しております。また、web archiveに対しては事象発覚直後に削除依頼を行い、2020年10月31日時点で削除が完了しております。
実際の被害影響についてログ調査を行ったところ、調査な可能な証跡について保管が行われていたのが2016年3月までとなっておりました。このため、それ以前の外部からのアクセスの有無および被害の発生状況について正確なご説明ができない状況となります。
既に具体的な権利画像の特定と、外部からのアクセスによる漏えいが認められたユーザーに対しては通知を実施させていただいておりますが、その他、具体的な漏えい被害が認められないユーザー・クリエイターの皆さまに対しても本事案の通知とお詫びをさせて頂きたく存じます。
本お知らせの末尾に問い合わせフォームを設けておりますので、万が一本件に関連する被害や事象が認められた場合はご連絡を頂きたく存じます。状況解消にむけて、可能な限りの調査と対応を実施させて頂きます。
2. 本事案における影響について
事象の発生期間:
サービス開始(2014年4月17日)から2020年10月31日
ログ保存期間外(サービス開始2014年4月17日より2016年3月以前)で認められたアクセス:
不明
ログ保存期間内(2016年3月より現在)で認められたアクセス:
実際に外部からのアクセスを確認できたもの:83件
当社による審査作業の一環としてのアクセスとログから推定可能であるが、正確な断定には至らないもの:2,408件 ※
ファイル内容と、含まれうる情報:
「LINE Creators Market」において、スタンプ(着せかえ、絵文字)の審査審査申請時に、著作権や肖像権の許諾を証明する「ライセンス証明」ファイルを添付する機能がございます。
この添付機能では、審査のやり取りにあたりクリエイターの皆さまと授受の発生するファイルも含まれております。これらのファイルについては、クリエイター登録時の氏名・住所等の個人情報が含まれることがあります。
本事案の原因について:
ファイルを格納したサーバーに対するネットワーク認証制御が不十分であったことが、ファイルが漏えいした直接の要因となります
また、今回漏えいが発生したファイルのURLについてはランダムかつ十分な長さをもったものであったことから、第三者が推測等をしてアクセスすることは困難であったと推定しております。
このため、web archiveへの保存や、外部アクセスが多数発生した要因といたしまして、なんらかの経路でファイルのURLが漏えいしたものと考えておりますが、現在当社ではその要因の特定に至っておりません。
要因が特定され次第、本お知らせの更新をもってご説明をさせていただきたく存じます。
対処状況:
漏えいしたファイルを格納したサーバーに対するアクセス制御については2020年10月27日の段階でインターネットからの遮断を完了しております。
ファイルURLが漏えいした要因に対する対処については、要因特定次第、速やかに実施させて頂きます。
補足:
ログ保存期間内(2016年3月より現在)で認められたアクセスのうち 実際に外部からのアクセスを確認できた83件に該当するユーザー・クリエイターの皆さまには、個別に事象の通知とご説明を実施させていただいております。
なお、web archiveに対するアクセスについては当社として確認を行うことができず、正確な件数については不明となっております。概要に記載の通り既に同サービスに対し当サービス「LINE Creators Market」から削除依頼は完了し、削除の確認についても完了しております。
※当該ファイルへのアクセスログを元に、アクセスに用いられたUser Agenet, アクセス時のWeb遷移を示すrefererその他の要素によって、当社による審査作業と推定したものとなります。
3. 現在までの対応状況について
2020年10月27日 00時59分 | LINE Security Bug Bounty Programの参加者より、事象の通知を受け発覚、調査後、同日10時42分に当該ファイルへのアクセスを遮断し、10時57分にweb archiveへの削除依頼を実施 |
2020年10月30日 19時23分 | 当初調査により影響を受けたとされるユーザー・クリエイターの皆さまへの通知 |
2020年10月31日 12時22分 | web archiveでの削除完了を確認 |
2020年11月05日 18時06分 | アクセスログの追加的な調査により更に多数の影響を確認 |
2020年11月12日 18時43分 | 2020年10月31日にお知らせしたユーザー・クリエイターの皆さまに対し、web archiveの削除に関する完了のご報告と調査状況の通知 |
2020年11月20日 15時48分 | 2020年11月5日の追加的な調査により被害が認められたユーザー・クリエイターの皆さまへの通知 |
2020年11月20日 17時30分 | 公開 |
※対応するスタンプ申請の削除により申請者が特定できなかったため、4件のユーザー・クリエイターの皆さまに対し、通知が行えていない状況となります。本文章にて事象のご報告をさせていただくとともに、お詫び致します。
4. 更新履歴
2020年11月20日公開
5. 本件に関するお問い合わせ
本件に関するお問い合わせは、下記お問い合わせフォームよりご連絡ください。
https://contact-cc.line.me/detailId/14013
改めまして、ユーザー・クリエイターの皆さまには多大なるご迷惑とご心配をおかけしたことをお詫び申し上げます。
当社では、個人情報の管理は厳重に行ってきましたが、認識が甘かったことを深く反省し、今後、このような事態を起こさないよう再発防止に努めてまいる所存です。