LINEを運営するLINEヤフーは12月9日、企業や店舗が利用する「LINE公式アカウント」で、ユーザー情報や企業情報が誤って表示される不具合が発生し、一部情報が漏えいした可能性があると発表した。
原因は、外部のCDNサービスとLINE側のデータ処理方式の違いによって特定の条件下で起きる誤表示。外部CDN側の修正が11月17日に完了したこと、12月4日に脆弱性がCVEとして公表されたことでゼロデイ攻撃の懸念がなくなり、今回の発表に至った。
誤表示が起きたのは、2025年9月19日や24日、25日の特定時間帯に、脆弱性の検証者と同じ通信経路で「LINEチャット」や管理画面を利用していた場合。発生確率は0.001%以下とされるが、ユーザーの内部識別子やプロフィール情報、企業の管理情報、「LINEチャット」で送受信されたテキストメッセージなどが誤って表示されたか、表示された可能性がある。
問題は9月19日にバグバウンティプログラムの参加者から報告を受けて調査が始まり、25日にはLINE側で止血対応を開始。9月29日には対応を終え、10月31日には漏えいが確認されていない経路にも予防措置を広げた。外部CDNの改修完了後、12月9日に公表された。現時点で不正利用や二次被害は確認されておらず、報告者は取得した情報を削除したという。
LINEは再発防止策として通信処理の見直しを進め、同じCDNを利用する他サービスについても調査を実施した。また、今回の事案では、本来禁止されている方法で検証が実施されたことから、12月3日にバグバウンティの新規報告受付を一時停止し、検証体制の再設計に着手している。
ユーザーに対しては、問題が起きた時間帯に身に覚えのない画面やメッセージが保存されていた場合は破棄を求め、不審なメールにも注意するよう呼びかけている。
