「LINE Pay」一部ユーザーの決済情報がGitHub上に漏えい

　LINEは、スマホ決済サービス「LINE Pay」について、一部ユーザーの決済情報などがソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたことを明らかにした。氏名や住所などの情報は含まれていない。

　事象が発生したのは2021年1月と4月。委託先のグループ会社従業員が「キャンペーンのポイント付与漏れを調査」するプログラムと対象となる決済情報を意図せずに「GitHub」上にアップロードしてしまい、閲覧できる状態（9月12日15時13分頃～11月24日18時45分）になっていたという。

　LINEの調査では、その情報に部外者からのアクセスが11件あったことを確認しているという。なお、6日時点で情報が検索エンジンやアーカイブサイト上に残存していないことを確認したとしている。

　対象のアカウント数は、5万1543アカウントで海外ユーザーを含めると13万3484アカウントにのぼる。

　閲覧できる状態になっていた情報は、対象ユーザーの識別子や、加盟店管理番号、キャンペーンコードなどのキャンペーン情報。キャンペーン情報には、キャンペーン名や決済金額、決済日時が含まれる場合があるという。この情報には、氏名や住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。

経緯と対応

11月24日18時27分

社内のモニタリング業務を通じて、「GitHub」上の当該情報を検知

11月24日18時37分

「GitHub」上の当該情報を確認

11月24日18時45分

「GitHub」上の当該情報の削除を完了

11月30日13時05分

「GitHub」上の当該情報に対するアクセス状況および二次拡散状況の調査を完了

12月 6日16時00分頃

該当ユーザーへの通知を実施

　対象のユーザーには、「LINE ウォレット」の公式アカウントから個別に案内するという。

　LINEは、「今後、情報取り扱いの社員教育をさらに徹底し、そのほかの対応策も検討を進め、再発防止につとめていく」としている。