このたび、旧LINE社のIT資産管理に利用している外部サービスのAPI*1設定不備により、登録している役職員*2の情報が外部から取得できる状態にあったことが判明いたしました。
なお、原因となるAPI*1設定不備の修正はすでに完了しております。
1. 発生した事象
旧LINE社の社内資産管理・社内問合せ管理を目的として利用している外部サービスにおいて、当社によるAPI*1の設定不備により、登録している役職員情報が外部から取得できる状態にありました。
本事象は、特定の操作により外部からデータ抽出が可能となっていた設定不備を、LINE Security Bug Bounty Program*3を通じた報告により判明いたしました。
外部から取得できる状態にあった情報は以下の通りです。現在は外部からのアクセスによる役職員情報等の取得ができないように設定変更を完了しております。
〈役職員に関する情報〉
氏名、メールアドレス、役職名
<社内問い合わせに関する情報>
添付ファイル名、問い合わせ対応満足度サーベイ名、サーベイの回答者
※ユーザー情報および取引先情報は上記に含まれません。
2.本事象の経緯と対応時系列
■2023年10月18日
・LINE Security Bug Bounty Programの参加者より、事象の通知を受け発覚
・担当が報告を受けて調査を開始
・外部からアクセス可能な設定になっていた機能を外部からアクセスできないように設定変更
■2023年10月19日
・利用するすべての環境で設定変更したことを確認
■2024年1月18日
・本事象に関する公表を実施
3.対象者へのお知らせ
該当する役職員には個別に連絡します。退職等により個別にご連絡ができない方には、本発表を以て、通知とさせていただきます。
本件によるフィッシング被害等の増加を含む二次被害は現時点で確認されておりませんが、漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信するおそれがございます。十分にご注意くださいますようお願い申し上げます。
関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。
※なお、本件は11月27日に公表した「不正アクセスによる、情報漏えいに関するお知らせとお詫び」の事案との関連性はございません。