メルカリ、ちょっとだけ個人情報とソースコードをお漏らしする。流出は27000件。メルカリも被害者。

メルカリ、ちょっとだけ個人情報とソースコードをお漏らしする。流出は27000件。

メルカリがシステムの開発に利用していたコードカバレッジプラットフォーム「Codecov」が不正アクセスを受け、
一部スクリプトが改ざんされていたもので、メルカリが本ツールを開発環境に導入してたことから
メルカリも不正アクセスを受け、次の情報が流出しました。

・GitHub上に格納されていた、当社のソースコードの一部
・2013年8月5日～2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報（銀行コード、支店コード、口座番号、口座名義人（カナ）、振込金額）：17,085件
・2015年11月～2018年1月の間におけるカスタマーサービス対応に関連した情報（氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容） ：217件
・2013年5月に実施したイベントに関連した情報（氏名、年齢、性別、Eメールアドレス）：6件
・「メルペイ」加盟店情報（個人事業主名）：7,925件
・「メルカリ」および「メルペイ」の取引先等に関する情報（氏名、生年月日、所属、Eメールアドレス等）：41件
・当社子会社を含む一部従業員に関する情報（2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む）：2,615件
・「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件

なお、現時点での本流出を悪用した顧客への被害や、稼働中サービスへの不正アクセスは
確認されていないそうな。

また、NHKによると、

取り引き情報や利用者の情報は原則として国内にあるデータセンターなどで管理していて、ここは不正アクセスを受けていない

とのこと。

メルカリも被害者と言えますが、メルカリ側のプレスリリースによると、発覚からプレスリリースまで、
結構時間があった模様です。
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について | 株式会社メルカリ

04/15：Codecov LLCが第三者による不正アクセスについて公表。
04/16：メルカリは「Codecov」に接続するCI（継続的インテグレーション）環境にある認証情報を初期化に着手。
04/23：GitHub社よりGitHub上のソースコードも影響を受けている可能性の通知を受領。
04/23：メルカリは全社横断的な対策本部を設置したほか、同日中に関連当局等への報告を実施。
※ここで当局への報告は済ませたみたい。当局がどこかは気にあります。
同日：ソースコードに認証情報等が含まれていないか等の調査、およびソースコードに含まれる
認証情報等の初期化作業を開始。
04/27：不正アクセスされたソースコード上に一部顧客情報があったことが判明。

一方で、当該時点において外部から当社への断続的な不正アクセスの試行を確認しており、直ちに当該事象を公表することで、さらなる攻撃を受け、追加被害に繋がる可能性があったため、当社では1)
追加被害に繋がる不正アクセスを防ぐための対策と影響範囲の特定を第一優先で実施、2) 該当の対策完了後速やかに、本件により流出した情報の対象となる方々へのご案内および外部公表をおこなうことを決定し、個人情報保護委員会等に報告いたしました。

そして05/21に、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査が完了したため、
5/21にプレスリリースを打ち、それがNHK報道に繋がったそうな。

という訳で、特に大きな騒ぎにはなっていないので、とりあえずメルカリのマスコミや消費者への初期対応は
成功しているのかも。

顧客情報の対象となる方々：

本流出の対象者は次のとおりだと明記されていますし、6－8年前の話なので、
今更どうこうなるという話でもないかと思いますが、該当者はガイドラインを参照してみましょう。

・2013年8月5日～2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報

・2015年11月～2018年1月の間におけるカスタマーサービス対応に関連した情報

・2013年5月に実施したイベントに関連した情報

ってか2013年5月に実施したイベントってなんだよ・・・逆に気になるわ。