LINEヤフー情報漏洩で行政指導「極めて遺憾」 NAVER依存を厳重注意

総務省は5日、LINEヤフーが2023年11月27日に公表した、第三者による不正アクセスと情報漏洩について、サイバーセキュリティの確保や再発防止策を講じて報告するよう文書による行政指導を行なった。

LINEヤフーは2023年11月27日、第三者による不正アクセスによりユーザーの個人情報を含む情報漏洩があったと公表、2024年2月14日には追加の情報漏洩と再発防止策を発表していた。

総務省は行政指導に際し、LINEヤフーが公表した事案について、電気通信事業法 第4条第1項に規定する、通信の秘密の漏えいであると認定している。

加えて、旧LINEの前身であるNHN JapanがNAVERの子会社であった当時から現在に至るまでの、システムやネットワーク構成における「NAVER側への強い依存」を指摘、NAVER Cloudへの攻撃がLINEヤフーへの不正アクセスにつながったとしている。

総務省は今回の事案について、NAVER CloudからLINEヤフーのネットワークや社内システムに対し、広範なアクセスが可能になっていたことについて、多要素認証がない、不正検知システムがないことなどを含め、ずさんな管理を指摘。さまざまな技術的不備が存在したとしている。

その上で、NAVER Cloudや業務委託先会社の安全管理措置やサイバーセキュリティ対策にも不備があり、外部からのマルウェア感染を許し、結果的にLINEヤフーのネットワークへの不正アクセスにつながった。こうした事態を防ぐセキュリティ対策は十分ではなく、LINEヤフーとの業務委託契約上も、適切な管理監督が実施されていなかったと認定している。

セキュリティガバナンスの面でも、不備が指摘されている。組織的な問題として、旧LINEのネットワークやシステムがNAVERの技術的支援により複雑に形成されており、現在でも保守運用などをNAVER側に頼らざるを得ないという関係があるという。またLINEヤフーからみると、NAVERは委託先であると同時に、LINEヤフーの持株会社であるAホールディングスの株主でもあるため、追加のセキュリティ対策を求めることや適切な管理を実施することが困難だった事情も影響していると指摘されている。

3年前の行政指導にもかかわらず。総務大臣は「より強い措置」に言及

総務省は、2021年3月に旧LINEが公表したユーザー情報の扱いの不備問題を受けて、同年4月にアクセス管理の徹底などを求める行政指導を行なっている。

今回の事案は、なおもアクセス管理の不備が一因となって招いた問題であり、「LINE」が国民の大多数が日常的に使用しているサービスであることを鑑みれば、通信サービス全体に対するユーザーの信頼を大きく損なったとし、「極めて遺憾」と厳しく批判している。

こうしたことから、総務省は今後、サイバーセキュリティが確保されるよう、組織的、人的、技術的な各側面から抜本的な見直しを求めている。加えて、親会社を含むグループ企業全体でのセキュリティガバナンスのあり方についても根本的な見直しを行ない、強化を図り、再発防止に努めるよう「厳重に注意する」とした。

松本総務大臣は、5日の閣議後会見でLINEヤフーへの行政指導に触れ、「少なくとも1年間にわたって定期的に報告するように求める」と言及。さらに「改善が見られず、同様な事案が発生する場合には、より強い措置を実施することも視野に入れて、監督を行なう」と述べている。