LINEが、LINEアカウントに対して複数の不正ログインの試みが発生し、約3,035のアカウントの電話番号、メールアドレス、ユーザー識別子が取得される得る状態だったことを発表した。
不正ログインを受けてLINEはパスワード強制リセットおよび再設定、二段階認証が適用されていないサービスを対象に見直しを行っている。
昨年も4000件の不正ログイン
LINEの報告によると、不正ログインの試みが発生したのはLINEのお問い合わせフォームで、同フォームには電話番号やユーザー識別子、メールアドレス(ログイン際のID)を埋め込む仕様だったことから、不正ログインが成功した場合はそれらの個人情報が取得され得る状態になっていたという。
埋め込んでいた理由については「円滑なご案内を行う目的」と説明しており現在は削除済み。
2月8日時点の被害状況は不正ログインの被害を受けたユーザー数が合計3,035件で、日本での被害件数は2,888件とのこと。
不正ログインにあったユーザーについてはパスワード初期化を実施。また、LINEアカウントを利用したログイン可能なサービスのうち、二段階認証が適用されていないサービスを対象に見直しを行い、順次適用を行っているとのこと。
対象者に届くパスワード初期化の通知
不正ログインに関連する被害や事象が認められた場合には専用の問い合わせフォームから連絡するよう案内している。
なお、LINEでは昨年2月にも4,000件超のアカウントを対象に不正ログインが発生し、見に覚えのないメッセージの送信やタイムラインの投稿が行われる被害が報告されていた。
不正ログイン発覚からの対応時系列
- 2021年1月19日 内部の不正モニタリングにて特定サービスに対するログイン試行を検知
- 2021年1月21日
- 内部調査に基づき、パスワード強制リセットおよび再設定に関するご連絡を対象者へ実施(1次)
- 2021年1月22日
- 22:34ごろ、攻撃元と思われるIPを遮断
- 2021年1月23日
- 8:30ごろ、ログイン後お客様を識別するため埋め込まれる情報である電話番号、emailアドレス(ログイン際のID)を削除
- 内部調査に基づき、パスワード強制リセットおよび再設定に関するご連絡を対象者へ実施(2次)
- 2021年2月8日
- 11:00ごろ、二段階認証の適用を完了
コメントを残す