LINEは2023年4月17日(月)、「LINEギフト」やLINE FLASH SALE、アカウントコマースなどのこれまでのECサービスにおいて、不適切なデータの取り扱いがあったことを発表しました。
しかし、当事者に突然送られてきたLINE公式アカウントからの文章を読んでも、素人にとっては「訳がわからない」と話題になっていますね。
また、送られてきたメッセージが詐欺や嘘なのではという声があります。
これは緑の認証マークがついていることから正式に「LINE公式アカウント」から送られた本物と思われます。
それでは、LINE公式アカウントからの送られてきた文章を簡単にまとめてみましたので、ご覧ください。
今回のLINE公式アカウントからのメッセージを要約
今回LINE公式アカウントから長々と送られてきた文章。約4400文字ありました。
突然送られてきて何が何やらという感じに思っている方が多々いるかと思います。
この長い文章をもう少し簡潔な文章にすると下の様な文章になるでしょうか。
【
1】LINEギフトや過去に提供していたLINEのECサービス(LINE FLASH SALE・アカウントコマースなど)を使用した時の通信を解析すると、ユーザー識別子など受信者に伝えてはいけない情報が見られるようになっていました。
ただし、誤って処理されたデータには、住所、電話番号、電子メール アドレス、銀行口座、クレジット カード番号などの個人情報は含まれておらず、2023年4月17日現在、情報の悪用による二次被害は確認されていません。
この問題は、2015年2月頃から2023年3月9日頃にかけて存在していました。
【2】LINE社のECサービスであるLINE FLASH SALEやアカウントコマースに出店していたショップが、管理システムからダウンロードできる受注データのCSVファイル内に、注文者の「遷移元※」データを誤って含めてしまったことが判明しました。
(※遷移元:送り主または注文者が商品の注文の直前に開いていたLINEギフト内のページの情報)
この不適切な情報提供は、2016年2月頃から2023年2月21日まで続いていた可能性があります。影響を受けた情報には、注文者の友だちの情報、検索語句、メッセージカードテンプレート種類識別子、アクセス解析のために付与されたパラメータ等が含まれています。
現在はCSVから「遷移元」の情報を削除する対応は完了しており、2023年4月17日時点で個人情報の不正利用などの二次被害は確認されておらず、ショップにはデータ破棄を依頼しています。
本事象を公表し、影響を受けたユーザーに通知を実施しています。
【3】LINEギフトや過去に提供していたLINEのECサービス(LINE FLASH SALE・アカウントコマースなど)で、ショップが管理するGoogle Analytics上でのLINEギフト内の自店ページのアクセスデータを閲覧できる機能が、ユーザーに説明されず提供されていたことが発覚しました。
この問題は、2015年11月頃から2023年2月22日まで存在していました。
閲覧可能だった情報には、当該ショップのページのURLとアクセス数、ユーザーがそのページに遷移する前に訪れたURLや分類情報、アクセス元の地域や端末の種類、商品購入に関する情報が含まれていました。
二次被害は確認されていませんが、可能性があるため、ショップに対して情報の破棄を依頼してます。
LINEは調査を開始し、2023年2月22日に機能を停止し、3月31日にショップへ該当データの消去を依頼しました。
対象者や項目についての正確な調査が困難であるため、公表をもって利用者へのご連絡にかえさせていただきますことをご了承ください。
「これでも全然わかんないよ!」という声が聞こえてきそうですので、更に嚙み砕いてみます。
LINEギフトを使用した時の通信を解析すると、ユーザー識別子など受取人やショップに公開するべきでない情報が見れらるようになっていました。
しかし、通常動作で通信を解析することはないので、あまり心配する必要はなく、二次被害も今のところ確認されていません。
念のため、ショップには流出したデータの削除を依頼しています。
2015年から今まで放置した状態になっていましたが、現在問題には対応しております。
実際にどの情報がどこかに漏れたのかは特定できず、利用者の皆様にご心配・ご迷惑お掛けして申し訳ございませんが、この文章で漏れた可能性があることは伝えたので、今後ご注意くださいね。
と、いう感じになるかと思います。
個人で読み解いているので、筆者の感じたニュアンスが入っていることはご了承ください。
情報流出する穴があったのだけれど、特殊な方法じゃないと見られないし、今のところ多分大丈夫!という感じのニュアンスを感じ取れて、何とも言えない気持ちになります。
実際に閲覧可能だった情報にはどんなものがある?
誤って処理されたデータには、住所、電話番号、電子メール アドレス、銀行口座、クレジット カード番号などの個人情報は含まれていないという旨の文章があるので、これらについては問題ないことが分かりますね。
では、それ以外の受取人やショップに公開するべきでない情報とは、具体的にはどんな内容があったのか見ていきましょう。
・閲覧可能な状態にあった情報:
・送り主の「LINE」アプリ上における受取り主の表示名(送り主が「LINE」アプリ上において手動で変更した受取り主の名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された受取り主の名前(※1))
・送り主がギフト購入時に利用または獲得可能だったクーポンの情報
・送り主の遷移元(※2)
・送り主の経由元(※3)
・送り主の流入元(※4)
・送り主が「LINE上の友だち」(以下「友だち」という)の誕生日ページを経由してきたかどうか
「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」より
「送り主がギフト購入時に利用または獲得可能だったクーポンの情報」は、例えば50%OFFのクーポンを使っていた場合、50%OFFのクーポンを使って購入した商品が送られてきたと受取り主が知れる状態にあったということですよね。
「送り主が「LINE上の友だち」(以下「友だち」という)の誕生日ページを経由してきたかどうか」も文字通りですので、割愛します。
それ以外のわかり辛い部分を以下にまとめてみました。
送り主の「LINE」アプリ上における受取り主の表示名
閲覧可能な状態にあった情報の1っとして『送り主の「LINE」アプリ上における受取り主の表示名』とありました。
これは例えば、LINEギフトを送った側の人が、LINEアプリ上でギフトの受取り主の名前を「妖怪ハゲジジイ」など手動で変更していた場合、「妖怪ハゲジジイ」と登録されている事を受取り主が知ってしまう可能性がある状態であったということでしょうか。
また、LINEギフトを送った側の人の端末のアドレス帳に「妖怪ハゲジジイ」と登録していて、それが「LINE」アプリに反映されている場合も同様です。
送り主の遷移元・経由元・流入元
「遷移元」というのは、LINEギフトを送った側の人が、商品を注文した直前に開いていたLINEギフト内のページ情報とあります。
これは、LINEギフトを送った側の人がLINEギフトのサイトやアプリ内で行った操作が、どのような場所(URLなど)からリンクされているかを示す情報をさしています。
例えば、特集ページのバナーをクリックして特集商品の一覧が表示され、更にそこから商品の注文ページに行くという流れで商品を注文したとします。この場合、購入した商品に辿り着く前の特集商品一覧のページが遷移元ということですね。
「経由元」というのは、LINEギフトを送った側の人が、商品を注文した直前に開いていたLINEギフト内のページのどの部分をクリックしたかがわかるということになります。
「流入元」というのは、送り主がLINEギフトページに来る前に閲覧していたサービスの情報とあります。
例えば、アダルトサイトのコメント欄にLINEギフトのURLが埋め込まれていてそこから商品を購入したらアダルトサイトを見ていたことが分かってしまうということになりますね。(そんなことはまずないでしょうが…)
ユーザー内部識別子
更に遷移元には以下の情報が含まれていた可能性があるとあります。
・「遷移元」に含まれていた情報の例:
・送り主の友だちの情報(表示名、送り主が「LINE」アプリ上において手動で変更した送り主の友だちの名前、または送り主の端末のアドレス帳から「LINE」アプリに反映された送り主の友だちの名前(※1)、 ユーザー内部識別子(※5)、プロフィール画像)
・送り主が商品を探すために用いた検索語句
・送り主がメッセージ作成画面を表示の際に選択していたメッセージカードテンプレート種類識別子
・アクセス解析のために付与されたパラメータ等
・当社システムから自動で付与される、利用者の識別のための認証情報(※6)
この中で「ユーザー内部識別子」というのが分かりにくいと思いますので見ていきます。
注釈で、「ユーザー内部識別子」というのは、「LINE」アプリのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なるとあります。
これは例えば、今LINEギフトのページを訪問しているのはAさんだということを識別するために、AさんにLINE側がユーザーのLINE IDに関係なくランダムで振っている記号番号のようなものです。
この番号が紐づけられていることで、例えば、Aさんが購入履歴のデータなどを見ることができると考えられます。
なので、ユーザー内部識別子は個人情報の一部となりうるため、適切な保護が必要と思われます。
また、「アクセス解析のために付与されたパラメータ等」というのは、アクセス元やアクセス経路、アクセス日時などを分析するために、URLに特定のパラメーターを付与するなどすることがあり、その付与した情報を指していると思われます。
問題になることはある?
わずかに可能性があるとすれば、悪意のあるギフトの受取り主やショップがあって、取得できた情報で特定の個人を標的にしたメールを作成し送り、そこから個人情報を引き出すということは可能だったのでは?などと筆者は考えています。
それはアドレスも知っていることが前提ですが。
漏れた情報は些細な事の様にも思えますが、特殊詐欺が横行している昨今、何が引き金で詐欺にあうかわかりません。
LINE社によれば、二次被害も今のところ確認されておらず、今後も発生する可能性は低いとされていますので、それを信じたいところですね。
まとめ
今回LINE公式アカウントから送られてきた「LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び」の内容は、LINEギフトや過去に提供していたLINEのECサービスで発生したデータ侵害問題に関する通知とお詫びでした。
閲覧可能だった情報の内容を見てみると、現時点ではあまり心配することはなさそうですが、8年間もの間、情報漏洩の可能性があったということで、LINEの管理体制に不安が残る内容となっていました。
LINE社には今後、慎重な管理体制をとってもらいたいところですね。
コメント