LINEヤフー、個人情報流出発表 不正アクセスで44万件か
コメント
注目のコメント
今回のケースでは、プロダクション環境ではなく、社員向けシステムを共用化していた事により、NAVERへの不正アクセスが、LINEヤフーにも波及したとのことですが、これは、NAVER側と、LINEヤフーの完全分離ができていなかったという事だと考えられます。
これは、今回の不正アクセス44万件という問題よりも、2021年にZHD主導で調査を行い個人情報保護委員会にも報告したLINEのユーザデータ越境問題について、国内化を行うと宣言していたにも関わらず、韓国からのデータアクセスルートがあったという事に対して、どう説明し解消するのかという、より根深い問題の解決を求められます。Webサービスの個人情報を守るためには、XSSやSQLインジェクションなどのWebサイトに対するサイバー攻撃対策(プロダクトセキュリティ)だけでは不十分で、従業員PCやメール・共有ドライブなどのOA環境に対するサイバー攻撃対策(コーポレートセキュリティ)の両面で対策していく必要があるということがよくわかる事例ではないでしょうか。
大企業の方にとっては、社内システムへの不正アクセスが、どうしてユーザーの個人情報流出につながるのかと疑問に思われる方も多いかもしれません。伝統的な企業やSIerのシステムでは、社内システムと顧客向けサービスは完全に別モノで権限管理もそれぞれされているからです。
SIerの社内システムへの不正アクセスで、SIerが担当している顧客のシステムの個人情報が流出するという事件はあまり聞いたことはないですよね。
Web系サービスを運営する事業会社にとっては、ビジネス職がユーザーの利用データを参照して事業の拡大やサービスの改善を検討したりカスタマーサポートを行うことが日常業務のため、必要に応じてユーザーの個人情報にアクセスすることも社内システムの提供機能の範疇になります。
社内システムとなると、IDが一元管理されていることも多いため、社内システムに接続した従業員PCに不正アクセスされると個人情報にもアクセスすることが可能になる事業会社は多いと思います。
私はNewsPicksのプロダクトセキュリティを担当しておりますが、会社のOA環境に関してはコーポレートに別チームがあるため、継続的に連携しています。
NewsPicksのユーザーの皆様の個人情報を守るために、あらためて気を引き締めていこうと思うきっかけになりました。今回の事件の構図は私が調査報道した2021年の個人情報不備事件と酷似しています。拙報道を受けて韓国のネイバーが運営するサーバーに保管していたすべての日本の利用者の画像と動画を日本に移すことを約束していました。ネイバーのクラウドとラインが分離していなかった可能性があります。