メルカリ、コードカバレッジツールへの不正アクセスにより個人情報が流出
| 会社名 | 株式会社メルカリ |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | プラットフォーム |
| 漏洩場所 | 社外 |
| 漏洩内容 | 住所/氏名/生年月日/メールアドレス/電話番号/ソースコード |
| 漏洩件数 | 27,889件 |
| 漏洩日時 | 2021/4/15 |
| 発表日時 | 2021/5/21 |
メルカリにて外部のコードカバレッジプラットフォームへの不正アクセスによりソースコードや顧客個人情報が流出。同社が利用しているコードカバレッジツール「Codecov」が、外部からの不正アクセスを受け、Bash Uploaderスクリプトが定期的に第三者に不正に変更された。これにより、Codecovを利用していた同社のソースコードの一部やフリマアプリの「メルカリ」や「メルペイ」などの顧客個人情報が流出した。
不正アクセス発覚後、「Codecov」に接続するCI(継続的インテグレーション)環境にある認証情報の流出リスクがあったため、CI環境にある認証情報の初期化を行った。また、同社が利用しているソースコード管理システム「GitHub」に格納していたソースコードも一部影響を受けている旨の連絡があり、詳細ログの提供を依頼し、同社でもログ調査を行った結果、第三者により同社の認証情報を不正取得し、GitHubに格納していたソースコードに不正アクセスしていたことが確認された。
これを受け、同社は対策本部を設置し、関係当局に報告を行うとともに、追加で被害拡大につながる不正アクセスを防ぐため、ソースコードに認証情報などがふくまれていないかなどの確認調査やソースコードに含まれる認証情報等の初期化などの対策、影響範囲の調査を行い、すでに調査は完了している。現時点で顧客への被害は確認されていない。また、稼働しているサービスへの不正アクセスは確認されておらず、サービス運営における影響はないとしている。同社は情報流出の対象顧客に個別の案内や問い合わせ専用窓口の設置を行った。
