VendorTrustLink Blog

LINEヤフー不正アクセス事件:委託先リスク管理強化の重要性

LINEヤフー不正アクセス事件:委託先リスク管理強化の重要性

1. 委託先におけるマルウェア感染により情報漏洩

LINEヤフー株式会社は、2023年11月27日、第三者による不正アクセスによりユーザー情報や取引先情報、従業者情報が漏洩したことを公表しました。不正アクセスは、韓国NAVER Cloud社の従業者のPCがマルウェア感染したことが契機で発生し、10月9日にLINEシステムへの不正アクセスが行われたと発表しています。

 

不正アクセスによる、情報漏えいに関するお知らせとお詫び – LINEヤフー株式会社

 

これによりユーザー情報(302,569件)、取引先情報(86,105件)、従業者情報(51,353件)が漏えいしたとされ、甚大な被害となりました。

 

不正アクセスの経緯としては、LINEヤフーと韓国NAVER Cloudの双方が委託した企業の従業員のPCがマルウェアに感染したことに始まります。この従業員は両社の従業員情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムネットワークへの接続を許可されていました。その結果、10月9日にNAVER Cloudのシステムを介して不正アクセスが行われました。

 

2. LINEヤフーの対応と再発防止策

LINEヤフーのセキュリティ部門は10月17日に不審なアクセスを検知し調査を開始し、10月27日に外部からの不正アクセスである蓋然性が高いと判断しました。不正アクセスに使用された可能性のある従業者のパスワードをリセットし、アクセスの経路となったと推測される関係会社のシステムから、LINEヤフーのサーバーに対するアクセスを順次遮断しています。また、従業者の社内システムへの接続についても、再ログインを強制実施しています。

 

今回の事件を受けて、LINEヤフーは下記のような再発防止策を実施していくと発表しました。

・旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を強化

・事象の契機となった、委託先の安全管理措置の是正に取り組む

・これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施する

 

3. 委託先における情報漏洩を防ぐために

サイバー攻撃による個人情報や機密情報の流出といった事件は年々増えています。このような事態を防ぐためには、社内のセキュリティ対策はもちろんのこと、委託先管理を徹底し、委託先のサイバーセキュリティ基準を厳格に適用する必要があります。また、継続的な監査やリスク評価を通じてサプライチェーン全体のセキュリティを確保することが重要です。

 

委託先管理の手順について詳しく知りたい方は下記委託先管理ガイドをご参照ください。無料でダウンロードいただけます。