スマートフォンの定番パズルゲームとして親しまれてきた「LINE ポコポコ」などをめぐり、利用者の内部識別子が外部の広告ツールへ送られていた――。LINEヤフーは2026年7月13日、同社が提供するLINE GAME3作品で、本来送る必要のないユーザーの内部識別子がパートナー企業の使う外部広告ツール上へ送信されていたと公表した。対象は内部識別子ベースで約710万件、ユニークユーザー数では約610万人にのぼる。氏名やクレジットカード番号などは含まれず、不正利用も確認されていないとするが、発生は2022年5月にさかのぼり、判明までに4年近くを要していた点が問題の根深さを物語る。
何が起きたのか
LINEヤフーの公式発表によると、対象となったのは「LINE ポコポコ」「LINE ポコパンタウン」「LINE ポコパン」の3作品。これらのゲームでは、パートナー企業が広告の表示状況などを確認・分析するために外部事業者提供の分析ツールを利用していた。ところが、そのツールに対して「本来送信する必要のない内部識別子がユーザーの端末から送信されて」いたという。
同社は発生原因について、「同ツールの設定変更にあたり、当社やパートナー企業における設定の確認が不十分であったこと」によるものだと説明している。つまり外部からの攻撃や不正アクセスではなく、広告分析まわりの設定ミスに起因する情報の意図せぬ流出だった。しかもこの内部識別子を送信していた事実は、同社プライバシーセンターにも記載されていなかったとしている。
ここで送られていた「内部識別子」とは、同社がシステム上でユーザー個人を識別するために割り当てているランダムな文字列を指す。LINEヤフーは、友だち追加などで用いる「LINE ID」とは異なるものだと明確に区別している。
何が漏れ、何が漏れなかったのか
送信されていた情報に、実害に直結しやすい項目は含まれていなかった。LINEヤフーは発表で、「送信されていた情報には、ユーザーの氏名・住所・電話番号、銀行口座・クレジットカード番号は含まれておりません」と明記している。加えて、外部ツールを提供する企業が該当情報をすでに削除しており、不正利用も確認されていないという。二次被害の報告もなく、利用者側で特別な対応をする必要はないとしている。
ただ、影響を受けた規模は小さくない。同社が公表した内訳によれば、内部識別子ベースの対象件数は「LINE ポコポコ」が約547万件、「LINE ポコパンタウン」が約79万件、「LINE ポコパン」が約84万件で、合計約710万件。このうち日本国内分は約666万件を占める。重複を除いたユニークユーザー数では約610万人(うち国内約574万人)となる。なお、ゲストとしてログインしていたため個人を特定できない状態で送信された件数が別途、合計約93万件あったとしている。
4年近く続いた「気づかれない送信」
今回の件で見過ごせないのは、その期間の長さだ。LINEヤフーが示した経緯によれば、事象が発生したのは2022年5月25日。これが判明して調査を開始したのは2026年4月1日で、修正を完了したのは同年4月3日である。つまり、不要な識別子の送信は3年10か月あまりにわたって続き、その間ずっと気づかれていなかったことになる。「LINE ポコパン」に至っては、2025年6月11日のサービス終了日まで送信対象期間が及んでいた。
攻撃を受けたわけではないのに問題が長期間検知されなかったという事実は、外部ツール連携や広告計測まわりの設定が、いかにブラックボックス化しやすいかを示している。設定の一度の変更が、本来送るべきでないデータの送信を静かに始めてしまい、それを継続的に監視する仕組みがなければ何年も表面化しない。今回は幸い機微な情報が含まれず、受領側企業による削除も済んでいたが、同じ構図で氏名や連絡先が流れていたら被害の性質はまったく変わっていた。
「攻撃されていない漏えい」が突きつけるもの
サイバーインシデントというと外部からの侵入や窃取を思い浮かべがちだが、今回のように、自社とパートナーの設定確認不足によってデータが意図せず外部へ流れ続けるケースは決して珍しくない。とりわけ広告計測・アクセス解析の領域では、SDKや外部ツールがどのデータを、どこへ送っているのかを開発側が完全に把握しきれていないことがある。パートナー企業を介した多層的なデータの受け渡しがあると、責任の所在や監視の目も分散しやすい。
企業に問われるのは、外部ツールへ送信するデータ項目の棚卸しと、設定変更時のレビュー体制、そして「送っているデータ」を継続的に点検する仕組みである。プライバシーポリシーやプライバシーセンターへの記載と実際の送信内容が一致しているかの突き合わせも欠かせない。今回LINEヤフーが「該当の内部識別子の送信はプライバシーセンターに記載されていなかった」と自ら認めた点は、まさにこの突き合わせが機能していなかったことを意味する。利用者にとっては、たとえ直接の被害がなくても、自分の識別子が知らぬ間に外部を巡っていたという事実そのものが、サービスへの信頼を左右する。攻撃の有無にかかわらず「送っているデータを把握し続ける」ことが、事業者に求められている。
