LINEの個人情報が中国で閲覧可能となった概要と流出原因について

みなさんはLINE利用していますでしょうか。

会社で利用している人もいますでしょうし、もちろん個人でプライベート利用している方が多数ではないかと思います。

 

最近では政府の関係者も通常のメッセージやり取りでlineを利用する、といった方もいらっしゃいましたね。(セキュリティ的に疑問視されているのでどうかと思いますが・・・)

 

そんな便利なLINEですが、上記の通りセキュリティ面でかなり脆いのではないかと疑問に思う方もいらっしゃると思います。

 

最近、その疑問通りで中国の委託先が個人情報を閲覧できる状態だったという話題がありました。

 

まず結論から言うと、各種個人情報などにアクセス権があったことで閲覧可能な状態だったと言うこと、及びそれをユーザに説明が不十分だったことで騒動になったと言う事です。

 

今回はその件についてご紹介していきます。

 

騒動の概要

f:id:nefuron2010-7:20210504131331j:plain

 2021年3月17日、大手チャットツールのLINEのシステム管理を委託していた中国企業で、ユーザー名やメールアドレスといった個人情報に加え、トークや写真も閲覧可能という状態だったといわれています。

 

 LINEのサーバの仕組みとして、LINEのトークテキストや個人情報(名前、電話番号、LINE IDなどユーザーを特定できる種別)の保管は、原則日本国内のサーバーで管理していました。

ただ、国内ユーザーの一部の個人情報について、アジアの各国外拠点での開発・運営業務の必要性からアクセスしている現状については、説明が不十分だったと言うことを認めています。また、情報漏洩などは本騒動において発生していないとのことです。

 

前述の通り、LINEのデータセンターはアジア複数箇所に存在しています。日本のサーバでは、トークテキストなど、個人情報の種別から、決済まで現在LINEでできるのでその辺りのセキュアな部分までを日本国内のサーバで管理しています。

 

 メッセージにもアクセスできていたのかどうかと言う部分ですがLINEではユーザ同士のやりとりにはメッセージ暗号化の方法で「Letter Sealing」と言うものを2015年から導入しており、暗号化されたトークテキストや音声通話内容はLINEのサーバー管理者でも閲覧することはできず、機能自体もデフォルトではONになっているので基本的に設定でOFFにしない限りは見ることはできないです。

 

 一方韓国のデータサーバでは、画像、動画などを管理している。なお、画像・動画を保管するサーバーについては、現在韓国で管理していますが、2021年中旬から段階的に国内への移転を開始すると言います。

 

それ以外にも、インドネシアベトナム、中国、タイ、台湾の5国で、LI統一のルール、方針のもとサービスの開発・運営を行っています。

 

各拠点で一体となって対応していこうとしているので、海外での開発やモニタリング処理を担当したり、国外の拠点や委託先において、一部の機能や内部ツールの開発、タイムラインとオープンチャットのモニタリングを委託している現状だと言います。

 

 今回の騒動の中心の中国には「NAVER China」「LINE Digital Technology (Shanghai) Limited」という2つの中国拠点があり、さらに、LINE子会社の「LINE Fukuoka」で、中国・大連の外部委託先に、一部公開コンテンツおよびユーザーから通報※されたトークテキストのモニタリング業務を現在委託しています。

 

 ※スパムや迷惑行為をLINE側に報告する機能。

前述のLetter Sealingで暗号化されているトークであれば、ユーザーが該当テキストをサーバーに連携し、非暗号化の平文テキストをもとにモニタリングするもの。

 

 この外部委託先では、タイムラインで1日約1万8000件、オープンチャットでは1日約7万4000件を処理していてLINE Fukuokaのセキュリティチームにて委託先のセキュリティ体制を点検している状態でした。

 

 なお、中国拠点で開発委託しているプログラムについては、同社管轄下のサーバー、ネットワーク、PC端末などを常時監視し、不正アクセスを検知できる体制はあると言います。

 

原因と対処

f:id:nefuron2010-7:20210504131358j:plain

 まず原因としてあったのが、ユーザに対する説明が不十分だったと言うこと、そして、中国から日本ユーザの個人情報へのアクセスが必要だったとはいえ、可能だったと言うことです。

 

説明が不十分だった部分に関しては会見でCEOから謝罪があり、今後は国内にデータ保存を移管していくとのことです。

 

そして中国からアクセスが可能だった件ですが、これもアクセス権があったのが原因と言うことだったので、中国からのアクセス権や開発委託などを中止、遮断し国内に移管を進めるとのことです。

 

 今後は、各国の法制度に対する環境変化に合わせた情報開示を行ったり、グローバル企業として開発力の国際競争維持を前提として、国内ユーザーの高プライバシーデータアクセスを伴う業務の国内移転を順次進めていくそうです。

 

さらに、セキュリティ・プライバシー有識者特別委員会による体制の確認や、米国「NIST」が定めている世界トップレベルのサイバーセキュリティ基準への準拠を目指していくそうです。

 

まとめ

f:id:nefuron2010-7:20210330090931j:plain

データにアクセスできたのは業務上必要な人間だけに限られていたとしても、問題なのは中国にあると言うことが恐ろしいです。

 

中国は2017年に中華人民共和国国家情報法というものが制定されていて、その気になればサーバデータを開示する義務を負わせることができ、中国に情報が筒抜けになる可能性があったと言うことです。

 

LINEの利用者は日本国内で8600万人、一部の自治体では行政手続きの窓口などの社会的インフラを担っているので、日本国内ではLINEの存在は大きくなっています。

 

今後も事業は拡大していくでしょうし、ユーザからの信頼回復のためにもこうしたセキュアな部分の情報はしっかりと保護してもらいたいものですね。