オンライン握手会の動画が中国サイトに流出、「LINE Face2Face」で

　LINEは2020年10月、チケット制ライブサービス「LINE Face2Face」において、不正アクセスにより、オンライン握手会の参加者などが写った動画が、一時、中国サイトにアップロードされていたことを明らかにした。現時点では、公開された動画はすべて削除されているという。

　LINE Face2Faceは、アイドルや俳優などと1対1で会話ができるライブ配信サービス。トークアプリの「LINE」とは異なる。

最大で1515件に影響

　不正アクセスが可能な状態にあったのは、2020年9月12日～2020年10月28日。この期間、同サービスのすべての配信が不正アクセスに対して脆弱な状態だった。このうち、2020年10月17日・10月24日に配信されたオンライン握手会の動画が不正にダウンロードされ、中国の動画サイト「bilibili」にアップロードされ、一時視聴可能となっていた。

　アップロードが確認された動画数は132件。アップロードなどは確認されていないものの、不正アクセス可能な環境にあった動画は最大で1515件に上る。

　動画は音声を含んでおり、配信者と参加者が写っていた。

　2020年10月25日にユーザーからの問い合わせにより、問題が発覚。アップロードされた動画は2020年10月28日までにすべて削除されたという。

公表まで9カ月かかった理由

　LINEでは、不正アクセスの対象となったユーザーなどには個別に経緯説明やお詫びなど連絡をする一方、ログの保存期間の都合上、被害にあったすべてのユーザーを正確に把握することが難しいと説明している。

　公表が遅れた理由は「問題発覚時の確認や社内の議論が不十分だった」ため。その後、社内のガバナンス体制やセキュリティの見直しの一環で、今回の問題が「通信の秘密および個人情報の漏えい」に当たるため、公表すべきという判断に至ったとしている。

　同社は公表した文書の中で「本事案の通知と公表に遅延が発生しましたことを、本事案の発生と合わせ改めてお詫び申し上げます。今後はユーザー様の情報を取り扱う上での管理体制をより一層強化するための再発防止策の実施、および不正なアクセスを防止しサービスのより高い安全性を実現するための開発プロセスの徹底など、より高度な安全性と透明性の確保のための取り組みを実現してまいります」としている。

再発防止策

　原因は、予約IDを使用して、配信予定リストのAPIから配信IDなどを取得。CDN（コンテンツデリバリーネットワーク）のキャッシュサーバーから不正に動画が取得されたためと推測されている。

　同社では再発防止策として、コンテンツ詳細データ取得のAPIに記載していた、CDN上の動画URLを削除。加えて、CDN上の配信済み動画ファイルのキャッシュルールを変更し、ファイル生成後速やかに削除するよう変更した。

　また、個人情報の漏えいなどが検知された際、利用者への通知や一般公表、監督官庁への報告が迅速に行えるよう、規定を策定するとともに、社内研修を実施しているという。