メルカリは、同社が利用している外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスにより、同社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、同社子会社を含む一部従業員に関する情報2,615件)が外部流出したことを確認したと発表した。

同件に関して、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査については、5月21日までに完了しているという。

なお、現時点で同件の影響によるユーザーへの被害は確認されていないとのこと。

また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はないとしている。

同件により流出した情報の対象となるユーザーへは、同発表と同時に速やかに同社より個別の案内を実施していくほか、同件に関する問い合わせ専用窓口も設置しているとのことだ。

今後は、外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と同件に関する調査を継続し、新たに知らせるべき内容が判明した場合は、速やかに報告するとしている。

メルカリは、同件の概要と対応について、以下の通り報告。

1. 経緯

2021年4月15日、同社が利用している外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者による不正アクセスについて公表。

4月23日、同社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されていた同社のソースコードの一部も影響を受けている可能性がある旨の通知を受領し、速やかに詳細ログの提供を同社に依頼するとともに、同社側でも追加のログ調査を実施。

その結果、第三者が同社の認証情報を不正に取得・流用し、「GitHub」上に格納されていたソースコードの一部に不正アクセスしていたことが判明したという(1月31日以降に数回、その後4月13日から4月18日までの間に集中的に不正アクセスがあったことを確認、また不正アクセスに使われた認証情報は速やかに無効化を実施)。

同結果を受け、同社では最優先の経営課題としてこれに対応すべく、4月23日同日に全社横断的な対策本部を設置したほか、同日中に関連当局等への報告を実施。

また、さらなる追加被害に繋がる不正アクセスを防ぐため、1) 不正アクセスされたソースコードに認証情報等が含まれていないか等の調査、および 2) ソースコードに含まれる認証情報等の初期化作業を開始したとしている。

4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明。

一方で、当該時点において外部から同社への断続的な不正アクセスの試行を確認しており、直ちに当該事象を公表することで、さらなる攻撃を受け、追加被害に繋がる可能性があったため、同社では1) 追加被害に繋がる不正アクセスを防ぐための対策と影響範囲の特定を第一優先で実施、2) 該当の対策完了後速やかに、同件により流出した情報の対象となるユーザーへの案内および外部公表をおこなうことを決定し、個人情報保護委員会等に報告したとのことだ。

その後、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査が完了したとしている。

2. 同社への影響

同件による影響範囲の一次調査は5月21日までに完了しているが、現時点で流出が確認された情報は以下となる。

■ 「GitHub」上に格納されていた「メルカリ」(US版メルカリおよび過去提供サービスを含む)「メルペイ」のソースコードの一部

■ 上記ソースコード内に含まれる、以下のデータ並びに一部取引先および同社子会社を含む従業員に関する情報

■ 「メルカリ」の一部顧客情報を含むデータ
・2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額):17,085件
・2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、問い合わせ内容):217件
・2013年5月に実施したイベントに関連した情報(氏名、年齢、性別、Eメールアドレス):6件
※現時点で「メルペイ」やUS版メルカリの顧客情報の流出は確認されていないとのこと

■ 「メルカリ」および「メルペイ」の一部取引先等に関する情報:
・「メルペイ」加盟店情報(個人事業主名):7,925件
・「メルカリ」および「メルペイ」の取引先等に関する情報(氏名、生年月日、所属、Eメールアドレス等):41件
・同社子会社を含む一部従業員に関する情報(2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む):2,615件

なお、現時点で同件の影響によるユーザーへの被害は確認されていない。

また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はないとしている。

今後、新たに発表すべき内容が判明した場合は、速やかに報告するとしている。

3. 原因

コードカバレッジツール「Codecov」に対する第三者からの不正アクセス

4. 現時点で実施している対応策

5月21日までに、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査として以下を完了している。

なお、同事象発覚後「Codecov」の利用は停止。

■ 認証情報の調査と初期化(無効化・交換)作業の実施
・不正にアクセスされた全認証情報の調査および初期化※

■ 被害状況の特定とセキュリティ強化
・「GitHub」上の個人情報有無の一次調査
・不正にアクセスされた認証情報を用いた不正アクセス有無の最終調査
なお、同社では「GitHub」上に個人情報および認証情報を保存しないルールとしているが、同件を受け、外部機関による協力のもと同様のケースの有無について調査を実施。

■ 同件により流出した情報の対象となるユーザーへの案内と専用窓口の設置
同件により流出した情報の対象となるユーザーへは、同発表と同時に速やかに同社より個別の案内を実施していくほか、同件に関する問い合わせ専用窓口も設置している。

■ 個人情報保護委員会等への報告
4月23日の事象発覚以降、個人情報保護委員会等へ報告しており、被害の拡大防止に向けた情報連携・報告を随時おこなっている。

5. 今後の対応について

外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と同件に関する調査を継続し、新たにお知らせすべき内容が判明した場合は、速やかに報告するとのことだ。

なお、今回の「Codecov」に対する第三者からの不正アクセスにより、同社に限らず国内外の多数の顧客企業・ベンダーが影響を受けている可能性があり、同件の影響を最小限にすべく、関係機関とも連携しながら率先して対応をおこなっていくとしている。