LINEヤフーの個人情報流出事案－不正アクセスに対する体制整備はどうだったか

保険研究部取締役研究理事兼ヘルスケアリサーチセンター長松澤登

1――はじめに

LINEヤフー株式会社（以下、LY社）は、ポータルサイトYahoo!の運営やコミュニケーションアプリであるLINEを運営する会社であることは比較的知られていると思われる。ただ、現在のLY社の形になるまで、TOBや株式交換などが行われており、また、LY社には多数の子会社・関連会社があるなど企業形態としては複雑である。そのLY社がサイバー攻撃を受け、2023年9月14日～10月27日にかけて個人情報が漏えいしたことが同年10月27日に判明した。

この事案を受け、2024年3月5日付で総務省はLINEヤフー株式会社（以下、LY社）に対して、通信の秘密の保護及びサイバーセキュリティの確保の徹底を求める行政指導を行った¹。これはLY社がサイバー攻撃を受け、各種情報をハッキングされたことに対して、管理態勢が不十分として、改善を指導するとともに、改善の状況の報告を求めたものである。これに対して、LY社は4月1日に総務省に対して報告²を行ったところ、同月16日、総務省はLY社の対応が不十分として再度指導を行った³。

また、あわせて個人情報保護委員会も2024年3月28日に個人情報の保護に関する法律に基づく勧告を行った⁴。

本稿ではこの間の状況や動きなどを解説するものである。本事案では事実関係が複雑なこともあり、かいつまんで解説を行いたい。

ちなみに総務省等は今回の事案に直接関係していないことながら、個人情報保護が不十分となる背景となる部分（＝資本関係）について強い指導を行っているところが特筆される。

¹ 総務省https://www.soumu.go.jp/main_content/000932387.pdf　参照。
² LINEヤフー株式会社　https://www.lycorp.co.jp/ja/news/2024/20240401_appendix_ja.pdf　参照。
³ 総務省https://www.soumu.go.jp/main_content/000942792.pdf　参照。
⁴ 個人情報保護委員会https://www.ppc.go.jp/files/pdf/240328_houdou.pdf　参照。

2――発生した事案

1｜LY社の業務委託関係
今回の事案を理解するにはLY社の業務委託関係を整理する必要がある。まず、LY社のうちLINE事業は韓国NAVER社の日本法人であるNHN Japan社が2011年6月にサービスを提供開始したものであり、NAVER社と業務上の関係が近い。

LY社はNAVER社のグループ会社（以下、NAVER社も含め、あわせてN社側という）であるNAVER Cloud（以下、NC社）との間でITサービス利用等に関する業務委託契約を締結している⁵。同契約に基づいて、NC社は、LINEに関するサーバ、ソフトウェア等の開発及び運用保守を実施している。これとは別に、LY社は、NC社のデータセンターに所在する社内コミュニケーション等に係るシステム及びLY社とNC社の両方のデータセンターに所在する共通認証基盤システムを従業者向けシステムとして利用している⁶。なお、LY社は、NC社に対して本件個人データの取扱いに係る委託は行っていない。

また、韓国企業である保守会社（以下、保守会社）はLY社とNC社の双方からセキュリティに係るメインテナンス業務委託契約を受託し、双方のデータセンターのウイルス対策管理サーバにアクセスすることができた⁷。

これを図示すると概ね図表1の通りである。

⁵ 前掲注3　p3参照。
⁶ 前掲注4　ｐ3参照
⁷ 前掲注3　ｐ3参照。

2｜攻撃者によるNC社・LY社への侵入
(1) 2023年8月10日、同月24日、保守会社のPCがマルウェア攻撃を受け、攻撃者は保守会社のPCを遠隔操作することができる状態となった。

(2) 同年9月14日、保守会社がNC社データセンターの定期点検作業のためNC社の管理者PCにリモート接続したところ、攻撃者は遠隔操作手法を用いて、NC社管理者PCおよびNC社のウイルス対策管理サーバをマルウェアに感染させた。

(3) 攻撃者は、2023年9月18日から同月26日にかけて、NC社のウイルス対策管理サーバを踏み台として、NC 社の管理者権限を奪取し、その管理者権限により、NC 社の認証基盤システムに不正アクセスしてマルウェアに感染させた。そして、そこに保存されていた、共通認証基盤システムにアクセスするためのLY社従業者のID・パスワードや、LY社の認証基盤システムにアクセスするためのLY社従業者のID・パスワードを不正に入手した。

(4) 攻撃者は、2023年9月14日、前記⑵のとおり取得したLY社の従業員のID・パスワードを利用して、LY社の従業員が利用する認証基盤システムへ不正アクセスしたうえで、さらにLY社のデータ分析システム、ソースコード管理システム、社内文書管理システム及び社内コミュニケーション等に係るシステムへアクセスするためのID・パスワードを不正に入手した（図表2）。

3｜攻撃者によるLY社データの窃取
2023年9月14日以降、10月27日まで、攻撃者は、上述のとおり入手したLY社の従業者のID・パスワードを用いて、各種システムへ不正アクセスし、LINE 利用者の個人データ、LY社の取引先及び従業者の個人データを不正に取得した。

3――総務省からの指導事項(3月5日付)

1｜事案発生の要因
総務省によれば不正アクセスを許した事案発生の原因として以下の4点が挙げられている。

(1) システムやネットワーク構成等に係るN社側への強い依存（図表3のA）
LY社はその設立経緯からNC社のプラットフォームを利用してきている。LY社とNC社のシステムは同期もしていた。LY社はNC社に委託業務を行わせるために、旧LINE社環境に広範なアクセスを許容してきた。また従業員アカウントの認証基盤についても共通化されており、旧LINE従業員のパスワードがNC社の従業員管理システムにて管理・保全されてきた。

(2) 不十分な技術的安全管理措置（図表3のB）
上記(1)の通り、NC社からLY社のネットワークに対して特定のポートに係る通信を除いて広くアクセスが許容されており、厳格なアクセス制御がなされていなかった。また重要な社内システムへのログインにあたって多要素認証等が求められていなかったこと、不正を検知するための適切な仕組みも導入されていなかったこと等、様々な技術的不備が存在した。

(3) 業務委託先の不適切な管理監督（図表3のC）
攻撃は業務委託先である保守会社およびNC社経由でなされたところ、このような事態を防ぐための安全管理措置・サイバーセキュリティ対策を保守会社およびNC社は行っていなかった。また契約上も定期的な評価や一定基準遵守の規定がなく、適切な管理監督がなされていなかった。

(4) セキュリティガバナンスの不備（図表3のD）
旧LINE社の社内ネットワークやシステム権限がN社側の大きな技術的支援を受けて、複雑に形成され、現在でも保守運用をN社側に頼らざるを得ないという関係が存在している。また、資本関係からはLY社の親会社の株式の半数をN社側が保有しているなど、LY社はN社側から資本的支配を受ける関係にある。以上を図示すると図表3の通りである。

これを見ると、総務省はLY社のN社側への強い依存が事案の背景あると考えていることがわかる。すなわち、LY社のLINEにかかわるシステムがN社側のものをベースとして作られており、システム管理全般をN社側に頼らざるを得なかった。そのため、LY社自身が自社のためのセキュリティ対策をとることができず（あるいは行わず）、N社側だよりになっていたことがある。しかも、N社側はLY社に対して資本関係で優位に立ち、LY社がN社側に対してシステム監査・管理指導するという関係になかったことなども合わせ、本件事案につながったと考えているものと言える。

日付	タイトル	執筆者	媒体
2025/05/02	ネットでの誹謗中傷－ネット上における許されない発言とは？	松澤登	基礎研レポート
2025/04/28	欧州委、AppleとMetaに制裁金－Digital Market Act違反で	松澤登	研究員の眼
2025/04/18	資金決済法の改正案－デジタルマネーの流通促進と規制強化	松澤登	基礎研レポート
2025/04/16	公取委、Googleに排除命令－その努力と限界	松澤登	研究員の眼

日付

タイトル

執筆者

媒体

2025/05/02

ネットでの誹謗中傷－ネット上における許されない発言とは？

松澤登

基礎研レポート

2025/04/28

欧州委、AppleとMetaに制裁金－Digital Market Act違反で

松澤登

研究員の眼