楽しくないブログ

NAVERサービスの外部不正アクセス問題でLINEが犯人を特定したことを発表

NAVERに対する外部からの不正アクセスにより169万2496件の個人情報が流出していた問題で、LINEが犯人を特定したという知らせを発表した。

【NAVER】NAVER会員情報への不正アクセスに関するお知らせ(続報)
http://linecorp.com/press/2013/0802585

平素は各別のご愛顧をいただき、厚くお礼申し上げます。

2013年7月19日にお知らせいたしました、LINE株式会社が運営するNAVERサービス(NAVERまとめ、Nドライブ、NAVER Photo Album、pick、cafe)の会員情報(以下、NAVERアカウント)に対する外部からの不正アクセスについて、8月2日、不正アクセスを行った人物を特定し、不正アクセスされた会員情報の不正使用、第三者への提供等の痕跡が一切無いことを確認いたしました。

今回の不正アクセスは日本国外の人物によって行われたのもので、弊社と現地警察とで連携し、不正アクセスを行った人物の特定に至りました。

また、本人の自供および現地警察と弊社の技術スタッフによる検証の結果、169万2,496件のNAVERアカウント情報(Eメールアドレス、ハッシュ化されたパスワード、アカウント名(ニックネーム))は弊社スタッフ立会いのもとで削除され、かつ、不正ログインによるアクセス、データの改ざん、第三者に提供した痕跡などは一切確認されませんでした。

弊社では、不正アクセス発覚後、万が一のお客様への二次被害を未然に防ぐため、再ログイン時にメールアドレスによるお客様の本人確認およびパスワードの再設定を義務付けさせていただいておりましたが、上記の通り不正アクセスを行った人物を特定し、情報・サービスの安全性が確認されたことから、8月2日15:00~より、パスワードの再設定をまだ行っていないお客様を対象に、従来のID・パスワードで引き続きNAVERサービスをご利用いただけるよう対応を実施いたしました。


この事件はNAVER(LINE)史上最大の失態ということで流出当初から騒動となっていた。流出したアカウントのパスワードの変更を強制的にするように仕様を変更したのだが、これにはメールアドレスが必要となったため、登録時のメールアドレスが現在使えないユーザはログインできない状況となっていた。NAVERとしては一人でもユーザ離れをさせないためにもそういったユーザもログインできるように検討していたのだが、犯人が捕まったことから今回パスワード変更義務を解除したようである。
しかし、上記説明によると「犯人にデータを削除させたから大丈夫」とあるが、この言い分は不可解である。普通こういった個人情報抜き取りは抜き取ったデータを外部へ売ったり別の場所へ隠したりする。しかしNAVERは「犯人特定→スタッフ立会いで削除させました」というだけで個人情報流出は無かったという結論に達した。あまりにお粗末な理論である。NAVERは今回の件ではとにかくユーザ離れを恐れているので、ログインできないユーザをしっかりとした理由でログイン可能にするための方便が必要だったのだ。犯人検挙の件を利用し、一見すると正当な理由の元ログインが可能になったかのような錯覚を受けるような発表の仕方をしているのである。NAVER利用者はまとめの低質さからも伺えるようにライトネットユーザが多いため、この程度の理論で十分だという判断をしたのだろう。普通の企業ならありえない説明だが、NAVERなら通ってしまうところが馬鹿なベンチャー企業らしい点と言える。 このエントリーをはてなブックマークに追加

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://nvmzaq.blog.fc2.com/tb.php/158-fd734e1b
この記事にトラックバックする(FC2ブログユーザー)