LINEのチケット制ライブサービスで握手会動画が流出 - CDNから取得か

同社によれば、APIでURLを取得したり、URLのパターンからさらにキャッシュファイルのURLを推測することで、同サービスで利用する「CDN（コンテンツデリバリーネットワーク）」のキャッシュサーバから動画ファイルを取得できる状態だった。

具体的には、公開済みの配信予定リストのAPIより、同じく一般向けに公開されている「予約ID」を取得でき、さらに同APIによって「予約ID」から「配信ID」を取得可能だった。「配信ID」を用いてコンテンツ詳細データを取得するAPIより動画のURLを入手でき、さらに同URLのパターンを解析することで配信開始後にキャッシュとして保存される動画ファイルのURLを推測、ダウンロードできる状態だった。

問題が判明した2020年10月当時、LINEではイベントを主催したユニバーサルミュージックや通報したユーザーに対して報告や謝罪を行ったものの、他関係者には通知しておらず、公表など行っていなかった。

ユニバーサルミュージックでは、LINEに対して個人情報流出の可能性について指摘し、参加ユーザーに対して告知を行うよう申し入れを行っていたという。当時の対応についてLINEは、「LINE LIVE」を活用したサービスである「LINE Face2Face」の動画も、「LINE LIVE」と同様の公開コンテンツとして認識していたとし、社内における確認や議論などが不十分だったと釈明した。

その後、全社的なガバナンス体制やセキュリティの見直しを進める過程で、同問題をあらためて検証し、「通信の秘密」や「個人情報」の流出にあたると判断。今回の公表に至ったとしている。所管する総務省や個人情報保護委員会にも報告を行った。

（Security NEXT - 2021/07/27 ） ツイート

PR

関連記事

コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
メール誤送信で事業所担当者のメアド流出 - やまがた産業支援機構
乗換案内サイトで別の顧客情報を表示 - キャッシュ不備で
農政情報の案内メールで誤送信、個人情報が流出 - 燕市
メール誤送信で企業担当者のメアド流出 - かがわ産業支援財団
施設の指定管理者がメール誤送信、メアド流出 - 新潟県
新潟県立近代美術館でメール誤送信 - 後任担当者が気付く
オンラインデザインツール上で他校生徒情報が閲覧可能に - 鹿島市
学生の個人情報含むファイルを医学部サイトに誤掲載 - 鳥取大
高校の保護者宛メールで誤送信、誤送信対策を要請 - 群馬県