LINEヤフーの利用者情報流出を解説。企業ができる対策とは

公開日2023/12/21 更新日2023/12/20

総務

ブックマーク

2023年11月27日、LINEヤフーは、LINEの利用者情報を含めて約44万件が流出した可能性があると発表しました。LINEは消費者のコミュニケーションツールとして根付いているだけでなく、企業がマーケティング活動を行うツールとしても知られています。

鈴木総務大臣は本件について「大変遺憾だ」と述べ、再発防止徹底を求める考えを示しています。

目次【本記事の内容】

事件の概要
サイバー攻撃
企業がサイバー攻撃に対してとるべき対策
まとめ

事件の概要

流出した可能性がある約44万件のうち、実際に流出を確認できたのは39万件で、そのうち日本の利用者数は約13万件だったとされています。

LINEは個人間のやり取りだけでなく、企業の情報も含まれています。たとえばLINE公式アカウントにはさまざまな情報があり、レストランの予約情報や会員情報など、個人情報も少なくありません。

今回の流出が起きてしまったのは、マルウェアに感染したことが原因です。LINEヤフーの大株主である「NAVER」の委託先従業員のパソコンがマルウェアに感染し、NAVERとシステムを共有していたLINEヤフーがサイバー攻撃を受けたとされています。

サイバー攻撃

サイバー攻撃とは、コンピューターシステムやネットワーク、デバイスに対して意図的に行われる悪意のある行為です。情報流出やシステム破壊、データ改ざん、サービスの妨害などさまざまな目的で行われます。サイバー攻撃の方法は多種多様で、その代表格として知られているのがマルウェアです。

マルウェアは、「悪意のあるソフトウェア」を意味する用語で、コンピューターシステムやネットワークに損害を与えるために設計されたソフトウェアです。マルウェアは多様な形態をとり、さまざまな方法で被害を引き起こします。たとえばウイルスは、他のファイルに感染し、それらを実行することで自身を複製します。システムの破壊やデータの損傷、他のシステムへの感染拡大が主な被害です。

他にも、以下のようなサイバー攻撃があります。

・フィッシング：偽のメールやWebサイトを使って個人情報（ログイン情報、クレジットカード情報など）を盗む

・SQLインジェクション：セキュリティが甘いとみられるフォームなどに、不正なSQLクエリを注入し、データベースを操作する攻撃手法

・クロスサイトスクリプティング（XSS）：Webサイトに悪意のあるスクリプトを注入し、他のユーザーのブラウザで実行させる攻撃

・Denial-of-Service（DoS）：サービスやネットワークに過剰なトラフィックを送り込み、正常なサービスの提供を妨害する。多数のデバイスで行われる大規模攻撃をDDoS攻撃という

企業がサイバー攻撃に対してとるべき対策

企業がサイバー攻撃に対してとるべき対策はさまざまです。主に「攻撃を防ぐための予防策」が重要になります。

攻撃を防ぐための予防策として有効なのは、セキュリティポリシーの策定・実施です。セキュリティに関する明確なポリシーを策定し、従業員に周知します。従業員の軽率な行動からサイバー攻撃を受けるケースも少なくないため、周知するだけでなく、あわせて研修などを実施するのが望ましいでしょう。

必要最小限のアクセス権限を設定し、不正アクセスを防ぐのも重要です。職位や業務内容に応じて、適切な権限を設定しましょう。たとえば、顧客管理ソリューションシステムとして知られるSalesforceは、オブジェクトレベル、項目レベルでアクセス権限を設定できます。こうしたプラットフォームやツールを導入するのも、サイバー攻撃への対策として役立つでしょう。