LINEヤフー株式会社は12月9日、「LINE公式アカウント」誤表示による情報漏えいについて発表した。
これは同社が提供する企業・店舗向けサービス「LINE公式アカウント」にて、一部情報の誤表示と、それに伴うユーザー情報および企業・店舗情報の漏えいを確認したというもの。
同社によると、同社が運営する「LINE Security Bug Bounty Program」の参加者から9月19日に報告があり、同社による検証の過程で、当該脆弱性および外部CDNサービスの仕様と同社のデータ処理方式の違いで、特定の条件下でユーザー情報および企業・店舗情報が誤って表示される漏えい(可能性を含む)が発生したとのこと。
対象サービスは下記の通り。
・「LINE公式アカウント」のチャット機能「LINEチャット」
・「LINE公式アカウント」の管理画面
誤表示が発生する特定の条件は、検証が行われた下記の時間帯に検証者と同じ通信経路で対象サービスを利用していた場合で、当該時間帯に誤表示が発生した確率(想定)は0.001%以下。
・「LINE公式アカウント」のチャット機能「LINEチャット」
2025年9月19日9時~11時
2025年9月24日14時~18時
2025年9月25日11時~15時
・「LINE公式アカウント」の管理画面
2025年9月24日15時台
誤って表示された・表示された可能性のある情報は下記の通り。
・ユーザー情報
内部識別子、ユーザーネーム、プロフィール画像などのプロフィール情報
・企業・店舗情報
「LINE公式アカウント」の管理企業(店舗)情報
「LINE公式アカウント」の管理者のプロフィール情報
「LINE公式アカウント」による配信メッセージに関する情報 など
・その他
「LINE公式アカウント」のチャット機能「LINEチャット」を通じて送受信されたメッセージ
同社によると、原因となった通信処理の不具合については外部CDNサービス提供会社による修正が完了しており、ゼロデイ攻撃の懸念が解消されたため、公表に至ったとのこと。
同社では、「LINE Security Bug Bounty Program」経由の報告により脆弱性が発見されたため、攻撃手法が公になる前に速やかに対処を行うことができた事例であるが、その一方で、本制度ではサービスや他のユーザーに影響を及ぼすおそれのある検証行為を明確に禁止しているにもかかわらず、こうした事項に該当する方法で検証が行われていたことから、2025年12月3日に新規報告の受付を一時停止している。
同社では、安全性と実効性の両立を図る形で、検証体制の見直しと再設計を進めるとのこと。
![[インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/20559.jpg)
