「LINE Creators Market」でクリエイターの個人情報漏洩

　LINEは、LINEスタンプを制作・販売できる「LINE Creators Market」において、サービス開始当初から個人情報が漏洩する状況になっていたことを明らかにした。

　確認された外部からのアクセスは過去4年で83件、断定はできないものの怪しまれるアクセスは2408件。

web archiveにも収集

　発生していた事象は、スタンプを制作するクリエイターのアップロードしたファイルが、外部からアクセス可能になっていたというもの。

　アップロードするファイルには、著作権などを証明する「ライセンス証明」ファイルを添付でき、そこにクリエイターの個人情報（氏名、住所など）が含まれることがある。

　審査担当のみ閲覧できるようにすべきところ、URLさえわかれば、認証なしで第三者がアクセスできるようになっていた。

　また、ネット上のファイルを保存するサービスであるweb archiveにも収集されており、ネット上で閲覧できるようになっていた。

　事象が発生した機関は、サービス開始時の2014年4月17日～2020年10月31日まで。

ログは2016年3月以降

　同社によれば、追跡調査できるログは、2016年3月以降のものが保存されており、それ以前については正確な説明ができないという。

　そのため、外部からのアクセス件数83件（正確には断定されていない件数2408件）はいずれも2016年3月以降のもの。それ以前の件数は不明だ。

　またweb archivesへのアクセス件数は、LINE側では把握できないという。

原因

　漏洩の原因は、ファイルを格納するサーバーに対して、ネットワーク認証の制御が不十分だったため。

　URLが知られれば第三者もアクセスできるとのことだが、そのURLはランダムかつ、十分な長さを持つとのことで、推測などでアクセスすることは難しいと同社では説明する。

　一方で、実際にweb archivesへの保存や外部からのアクセスが確認されており、「なんらかの経路でファイルのURLが漏洩したと考えている」という。ただ、URL漏洩の理由は特定されていない。

　2020年10月27日時点で、当該サーバーは、インターネットと遮断。web archivesへの削除依頼も実施し実際に削除が完了したことも確認済みとのこと。