ニュース 2021.06.06 メルカリの顧客情報流出、原因は開発ツールへの不正アクセス

同社によれば、アプリのコード開発に利用していたツール「Codecov」に不正アクセスがあったことが原因。

米Codecov社は、4月15日、2021年1月末以降「Codecov」に不正アクセスの痕跡があり、認証情報が流出した可能性があることを公表。メルカリは、この情報を受けた翌16日に、該当する認証情報を初期化している。

メルカリから流出した個人情報は、2013年8月から翌年1月にかけて、アプリ上で取引のあった銀行口座情報、メルペイ取扱店として加盟している個人事業主の氏名など。21日の発表時点では、顧客からの被害届けなどは出ていないとした。

米Codecov社の開発ツールは、コードのカバレッジを計測できるツールとして広く利用されている。

利用するメリットは、テストが実施されていないコードを一目で見分け易いように可視化できることで、さらに、可視化のみならず、GitHubやSlackに連携し、テスト未実施のコードを発見したあとの、その後の対応までし易いように仕組化されている。

開発スピードは速くなり、便利なツールだ。しかし、今回のようにその元となるツールが不正アクセスを受けた場合には、接続されているGitHubなどのコードも同時に漏えいの危険に晒されることになる。こうした潜在リスクを充分に把握して対応しておく必要はあるだろう。

メルカリでは、GitHubで管理していたソースコードの一部にも不正アクセスの痕跡が発見され、Codecovの利用を中止した。メルカリの規定上、GitHub上に個人情報などの機密情報を保存しないと規定していたものの守れていなかった。

【関連リンク】

・メルカリ、顧客情報流出　不正アクセス氏名や口座2万8000件（日本経済新聞）
https://www.nikkei.com/article/DGKKZO72165420R20C21A5EA5000/?unlock=1

TEXT：セキュリティ通信 編集部
PHOTO：iStock