「LINE Face2Face」における動画の不正アクセスによる漏えいについて
2021.07.21
■概要
当社が運営するチケット制ライブサービス「LINE Face2Face」*1(以下、本サービス)について、サービスを開始した2020年9月12日~2020年10月28日の期間中において、本サービスによるすべての配信動画が不正アクセスの可能性がある環境にありました。このうち、2020年10月17日および2020年10月24日に実施したオンライン握手会の配信動画(以下、本件動画)が不正にダウンロードされ、動画共有サイト「bilibili」(以下、本件サイト)へアップロードされたことにより、配信者様と参加ユーザー様が映った動画(音声含む)が、2020年10月17日~2020年10月28日の期間中において視聴可能な状態であったことが判明しております(以下、本事案)。なお、本件動画以外に、実際に不正なダウンロードまたはアップロードが行われた事実は、現時点では確認されておりません。
*1 「LINE Face2Face」はLINEアプリのトーク、音声通話、ビデオ通話とは異なる独立したサービスです。
対象のユーザー様、配信者様、およびその他の関係者様には、ご迷惑をおかけしましたことを心よりお詫び申し上げます。
本事案については、2020年10月25日にユーザー様からの連絡により判明し、2020年10月28日までに、本件サイトへアップロードされたすべての本件動画の削除を完了しております。さらに、本サービスで配信される動画全般につき不正アクセスを防止すべく、技術的安全管理措置(後述)を実施しました。
2020年10月の本事案の判明時には、イベント主催者および連絡のあったユーザー様へのご報告とお詫び、再発防止策の実施を行ったものの、本来、本事案判明時に社内で行われるべき確認や議論が不十分であり、対象の皆様への通知や公表が行なわれておりませんでした。しかし、この度、全社的なガバナンス体制やセキュリティの見直しの一環として、当社内で改めて本事案について検証したところ、「通信の秘密および個人情報の漏えい」に該当するため通知・公表を行うべき事案であったという判断に至りました。そのため、現時点において改めて、具体的な漏えい被害が認められない配信者様、ユーザー様も含め、本事案の通知とお詫びを行うとともに、本お知らせの公開をいたします。なお、上述の再度の検証の過程におきまして、監督官庁への相談・報告を実施しております。
本事案の通知と公表に遅延が発生しましたことを、本事案の発生と合わせ改めてお詫び申し上げます。今後はユーザー様の情報を取り扱う上での管理体制をより一層強化するための再発防止策(後述)の実施、および不正なアクセスを防止しサービスのより高い安全性を実現するための開発プロセスの徹底など、より高度な安全性と透明性の確保のための取り組みを実現してまいります。
なお、本事案の対象者様には、本日より順次経緯のご説明とお詫びを個別に通知させていただきます。
※被害範囲について調査可能なログの保存期間が過去1ヶ月間となるため、不正アクセスの可能性があったすべてのユーザー様の正確な把握が難しい状況でございます。特定不能な一部ユーザー様へは本お知らせにて事象のご報告をさせていただくとともに、ご迷惑をおかけいたしましたことをお詫び申し上げます。
■本事案における影響について
・本件動画(本件サイトへの動画アップロードが確認されたもの)
【影響数】ファイル数:132件(配信者:35名、参加ユーザー:282名)
【事象の発生期間】2020年10月17日~2020年10月28日
・不正アクセスの可能性がある環境にあったもの(現時点では不正なダウンロードまたはアップロードがされた事実は確認されていないもの)
【影響数】ファイル数:最大1,515件(配信者:最大100名、参加ユーザー:最大4,133名)
【事象の発生期間】2020年9月12日~2020年10月28日
・漏えいした情報の種類:
配信者様および参加ユーザー様が映った動画(音声含む)
■本事案の原因について
以下の手順でCDN(コンテンツデリバリーネットワーク)のキャッシュサーバーから本件動画が不正に取得され、本件サイトにアップロードされたものと推測されます。
1. 本サービスの配信予定リストのAPI(配信予定リストAPI)にアクセスし、予約IDを取得。
※配信予定リストは、どのアーティストが何時に配信を行うかという情報であり、一般に公開されている情報です。また、予約IDについても、イベントを主催するパートナー企業様が公開設定した予約に関しては一般に公開されるところ、本件動画に関しては、いずれのイベントも公開設定がされておりました。
2. 予約IDを使用して、同APIから、配信IDを取得。取得した配信IDを使用して、コンテンツ詳細データ取得のAPIにアクセスし、CDN上の本件動画のURLを取得。
3. 取得したURLを解析することで、CDNから配信開始後の本件動画を取得。
■対処状況
本件サイトにアップロードされたすべての本件動画について、2020年10月28日までに削除を完了しております。さらに、以後本サービスにより配信される動画全般につき不正アクセスを防止すべく、技術的安全管理措置(後述)を実施しました。
■再発防止策
a.技術的安全管理措置
a-1
コンテンツ詳細データ取得のAPIに記載していたCDN上の動画URLを削除する措置を実施
a-2
CDN上にある配信済み動画ファイルのキャッシュルールを、ファイル生成後2~3日で削除することとしていたものから、ファイル生成後速やかに削除するように変更
b.組織的・人的安全管理措置
b-1
パーソナルデータ漏えい等の発生もしくはその疑いが検知された際、迅速に対外対応(利用者への通知、一般への公表および監督官庁への報告)が行えるよう、体制、役割、判断基準等を定めた規程類を策定(当該規程に基づき、情報漏えい事故発生時もしくはその疑いがある場合は必ず複数の責任組織の観点から通知、公表および報告実施の判断を行う)
b-2
当該規程類の定着のため、社内研修を実施
■現在までの対応状況について
2020年10月25日0時2分 ユーザー様より、本件動画に関してのお問い合わせをいただき判明、イベント主催者および連絡のあったユーザー様への報告を実施
2020年10月26日16時00分 本件サイト上にアップロードされた本件動画の削除対応を開始
2020年10月28日20時47分 本件サイト上にアップロードされた本件動画の削除を完了
2020年10月28日 再発防止策a-1を実施
2020年11月17日 再発防止策a-2を実施
2020年11月30日 再発防止策b-1を実施(規程の実効性を高めるため、運用マニュアルを策定し、継続改善を実施中)
2021年2月以降 再発防止策b-2として、研修を随時実施
2021年7月21日 本お知らせの公開
本件動画の配信者様・ユーザー様、および不正アクセスの可能性があった動画の配信者様・ユーザー様への通知を順次実施
■本件に関するお問い合わせ
本件に関するお問い合わせは、下記お問い合わせフォームよりご連絡ください。
https://contact-cc.line.me/detailId/13920
改めまして、配信者様・ユーザー様には多大なるご迷惑とご心配をおかけしたことをお詫び申し上げます。今後、このような事態を招かぬよう再発防止に努めてまいります。