スマートフォン決済サービス「LINE Pay」で国内5万人の決済情報などが外部に漏えいした問題で、運営元のLINE Pay(東京都品川区)は12月7日、漏えいした情報に関し「技術的解析で個人を特定できる可能性がある」との見解を示した。同社は「弊社を装ったメールに注意してほしい」とユーザーに注意を呼び掛けている。

●韓国企業の社員が個人用の「GitHub」に誤って公開

 情報漏えいは、LINE Payの子会社で、同社の受託開発などを手掛ける、韓国LINE biz Plusで発生。1月と4月にLINE Payで行ったキャンペーンのポイント付与漏れを9月に調査した際、同社の社員が調査を行うためのプログラムとその対象になる決済情報を、ソフトウェア開発プラットフォーム「GitHub」に誤って公開した。

 LINE PayはGitHubについて「閲覧制限を設けた企業用のアカウントを、ソースコードの保存など社内の通常業務でも使用している」とした上で、今回の漏えいに関しては「社員の個人アカウントに情報をアップロードしていた」と説明する。情報は既に削除済みで、社員がGitHubの個人アカウントに情報をアップロードした経緯などは「現在調査中」(同社)としている。

 漏えいした情報は、2020年12月26日〜21年4月2日分の、対象ユーザーの識別子、加盟店管理番号、キャンペーン情報。キャンペーンコードの他、キャンペーン名称、決済金額、決済日時なども含まれる可能性があるとしている。対象のユーザー数は、日本国内5万1543人分。海外のグループ会社が展開しているLINE Payユーザーも含めると13万3483人分にも及ぶ。

●ユーザーのLINE IDや電話番号などが特定される恐れ

 同社は「一連の情報には氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号などの個人情報が含まれておらず、現時点でユーザーへの影響は確認されていない」と発表しているものの、取材の結果、ユーザー情報が特定される恐れがあることが分かった。

 同社は「漏えいした情報は、一見するとランダムな文字列にしか見えないが、技術的な知見を持つ第三者が解析すると、LINEのプロフィール情報を取得できる可能性がある」と指摘。ユーザーによって登録状況が異なるが、LINEのプロフィールには、名前やプロフィール画像、電話番号、ID、誕生日などを登録することができる。

 漏えいした情報に対し、同社は外部からのアクセスがあったことを認めている。一連の情報からユーザーのアカウントを特定し、スパムメールなどが送信される可能性があるとして、同社は注意を呼び掛けるとともに「ユーザーと関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となり、心より深くお詫び申し上げる」と陳謝。「社員教育の徹底と、その対策を講じていく」としている。

 LINEでは3月、ユーザー情報などが中国の子会社からアクセスできる状態になっていた問題が発覚。これを受け、順次サーバーを日本国内に移転する方針を示し、LINE Payは9月までに、日本国内への移転完了を目指すとしていた。今回の情報漏えいとの関連性について同社は「漏えい発覚時点では、既に日本にサーバー移転が完了していた」とした。