日本政府要求Naver、Line切分IT基礎架構，防個資再外洩

日本政府本周要求通訊軟體Line和股東Naver切割IT基礎架構，以防去年底傳出外洩用戶個資事情再次上演。

去年11月Line母公司Line Yahoo公司（LY Corporation，LYC）公告，10月間公司遭到駭客未經授權存取，使通訊軟體Line用戶資訊外洩。外洩的資訊包括用戶個資、訊息相關的標識碼、通話日期和時間，可能也包含用戶性別及貼圖購買紀錄等。一開始LYC判斷有44萬筆用戶及員工受影響，也包含臺灣用戶。今年2月隨後再發現新增近8萬戶用戶、員工及合作夥伴資訊外流，使受影響用戶上修到超過51.9萬。但Yahoo日本聲稱未發現有個資濫用情形。

去年日本主管機關總務省要求LYC提供詳細報告，以及應對資訊管理系統進行檢討。本周總務省發布行政指導意見。總務省認為，LYC安全管理、網路安全對策及外包商管理有疏失，並提出改進要求。

根據LYC提交的報告，這起案件源於LYC和關係企業Naver Cloud因部分系統共用，而雙方於韓國採用的外包廠商，其員工電腦遭到惡意程式感染，導致此次事件。因LYC和Naver共用員工及其他個資的身分驗證系統，導致駭客藉由Naver系統入侵先前屬於LYC的內部系統。此外，LYC AD伺服器上的員工帳戶資訊會經由HR系統和Naver Cloud的AD伺服器同步。因此LYC員工帳號資訊會分享給及儲存於Naver Cloud上。

因此，總務省要求Naver Cloud和LYC內部的身份驗證基礎架構應完全分離、實施嚴格的存取控制，以減少未經授權存取。此外，主管機關也要求LYC對AD伺服器在內的各重要伺服器和系統強化存取管理，以及強化外包商的審查，包括機密資訊的外包作業及其存取公司系統權限管理等。

事實上，Naver Cloud與LYC不僅是關係企業，實則擁有LYC母公司一半股權，也讓LYC難以對Naver提出嚴格管理要求。

這不是LYC第一次發生外包商存取管理鬆弛事件。2021年3月，一家中國外包公司的員工被發現能夠查看該公司日本伺服器上的使用者名稱和電話號碼。