「LINE公式アカウント」誤表示による情報漏えいのお知らせとお詫び
このたび、当社が提供する企業・店舗向けサービス「LINE公式アカウント」において、一部情報の誤表示(以下、本事象)、それに伴うユーザー情報および企業・店舗情報の漏えいを確認しました。
「LINE公式アカウント」を利用する皆さまには多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
本事象は、当社が利用している外部CDNサービス※1の仕様と当社のデータ処理方式の違いにより、特定の条件下でのみ発生しました。外部CDNサービス提供会社による修正が完了※2し、ゼロデイ攻撃※3の懸念が解消されたため、このたび当社にて公表しました。
なお、本事象はすでに解消しており、現時点で不正利用などの二次被害は確認されていません。
※1 「LINE公式アカウント」のチャット機能「LINEチャット」および「LINE公式アカウント」の管理画面では、通信の安定性と速度を高めるため、外部CDN(コンテンツ配信ネットワーク)サービスを利用しています。
※2 外部CDNサービスに関する脆弱性情報 https://www.cve.org/CVERecord?id=CVE-2025-66373
※3 修正前のソフトウェアやシステムの脆弱性を狙った攻撃
1.事案概要
当社が運営する「LINE Security Bug Bounty Program」( https://bugbounty.linecorp.com/ja/ )の参加者および当社による本事象の発見・検証の過程において、当該脆弱性および外部CDNサービスの仕様と当社のデータ処理方式の違いにより、特定の条件下でユーザー情報および企業・店舗情報が誤って表示される漏えい(可能性を含む)が発生しました。
<対象サービス>
・「LINE公式アカウント」のチャット機能「LINEチャット」※4
・「LINE公式アカウント」の管理画面
※4 企業・店舗がユーザーと1対1でやりとりできる機能です。ユーザー同士のトークは対象外です。
<誤表示が発生する特定の条件>
検証が行われた時間帯に検証者と同じ通信経路で上記対象サービスを利用していた場合
<検証が行われた時間帯 (日本時間 JST)>
「LINE公式アカウント」のチャット機能「LINEチャット」
・2025年9月19日(金)9時〜11時
・2025年9月24日(水)14時〜18時
・2025年9月25日(木)11時〜15時
「LINE公式アカウント」の管理画面
・2025年9月24日(水)15時台
当該時間帯において、誤表示が発生した確率(想定)は0.001%以下です。
<誤って表示された・表示された可能性のある情報>
ユーザー情報
・内部識別子、ユーザーネーム、プロフィール画像などのプロフィール情報
企業・店舗情報
・「LINE公式アカウント」の管理企業(店舗)情報
・「LINE公式アカウント」の管理者のプロフィール情報
・「LINE公式アカウント」による配信メッセージに関する情報 など
その他
・「LINE公式アカウント」のチャット機能「LINEチャット」を通じて送受信されたメッセージ※5 (画像/動画/ファイルは除く)
※5 商品やサービスに関する問い合わせなどのやり取りを主とする「LINE公式アカウント」とユーザー間のメッセージ
2.経緯と対応
| 2025年9月19日 | 「LINE Security Bug Bounty Program」の参加者より、本事象の通知を受領。担当が報告を受けて調査を開始 |
|---|---|
| 2025年9月24日 | 外部CDNサービス提供会社に本件に対する調査を依頼、当社による検証を開始 |
| 2025年9月25日 | 同社に確認のうえ、当社による止血対応を開始 |
| 2025年9月29日 | 当社側での止血対応を完了 |
| 2025年10月31日 | 漏えいが確認されていない経路でも予防措置を実施 |
| 2025年11月17日 | 同社による修正が完了し、本事象の解消を確認 |
| 2025年12月4日 | 同社による脆弱性の公表(CVEの公開) |
| 2025年12月9日 | ゼロデイ攻撃の懸念が解消されたため当社にて公表 |
3.再発防止策
・原因となった通信処理の不具合については、外部CDNサービス提供会社に修正を依頼し、同社において修正プログラムの適用を実行しました。
・当社側においても、通信処理の見直しや当社で採用している外部の関連ソフトウェアに対する修正提案を行い、同様の不具合が起きないよう対策を講じました。また、同社のCDNを利用している「LINE公式アカウント」以外の当社サービスについても調査を行い、予防措置を実施しています。
・本件は、当社の「LINE Security Bug Bounty Program」経由の報告により脆弱性が発見されたため、攻撃手法が公になる前に速やかに対処を行うことができた事例です。一方で、本制度では、サービスや他のユーザーに影響を及ぼすおそれのある検証行為を明確に禁止しているにもかかわらず、今回の事案では、こうした事項に該当する方法での検証が行われていたことから、2025年12月3日に新規報告の受付を一時停止しました。
・安全性と実効性の両立を図る形で、検証体制の見直しと再設計を進めてまいります。
4.対象者へのお知らせ
本事象はすでに解消しており、現時点で不正利用などの二次被害は確認されておりません。
また、本事象を確認した当該報告者においては、取得した情報をすでに削除しております。
なお、検証が行われた時間帯に、ご自身に見覚えのない画面やメッセージを受信し、保存されていた場合には破棄していただけますようお願いいたします。また、不審なメール等にはご注意くださいますようお願い申し上げます。
5.本件に関する問い合わせ先
本件に関するユーザーの皆さまからのお問い合わせは、下記窓口で受付けております。
https://contact-cc.line.me/category2Id/12698
上記URLがうまく機能しない場合は、ブラウザより閲覧ください。
改めまして、ユーザーや企業・店舗の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。当社は今回の事象を重く受け止め、再発防止に全力で取り組むとともに、引き続き安心してご利用いただけるサービスの提供に努めてまいります。