今回はメルカリの個人情報流出事件についてです


解説動画はこちら



さて結構大きめの個人情報流出事件が起きました。
何が起きたのでしょうか??

メルカリの個人情報流出事件

メルカリが利用していた外部のコードカバレッジツール
「Codecov」に対する第三者からの不正アクセスにより
顧客情報など約2万7000件が外部流出したと発表した。

一次調査は2021年5月21日までに完了し
現時点で顧客への被害は確認されていない。

流出した個人情報

同社フリーマーケットアプリ「メルカリ」において
2013年8月5日から2014年1月20日までに実行された
売上金の振り込みに関連する顧客情報1万7085件。
金融機関の情報や口座番号
名義、振込金額などが含まれる。

さらに「メルペイ」に加盟する
個人事業主名7925件や取引先における
氏名、生年月日、所属、メールアドレスなど41件

関連会社従業員の氏名、メールアドレス
従業員ID、電話番号、生年月日など
2615件なども対象となる。


事件の経緯

2021年4月15日:
Codecov LLCが第三者による
不正アクセスについて公表

2021年4月16日:
当社CI環境にある認証情報の初期化に着手

2021年4月23日:
GitHub社より「GitHub」上に
格納されていたソースコードの一部も
影響を受けている可能性がある旨の通知を受領
追加のログ調査実施

一部に不正アクセスされていたことが判明

2021年4月27日:
不正アクセスされたソースコード上に
一部顧客情報があったことが判明


流出の原因は?

コードカバレッジの可視化プラットフォーム
「Codecov」が攻撃を受けた事が起因のようです

コードカバレッジとはソフトウェアテストで
用いられる尺度の1つでカバレッジは
プログラムのソースコードがテストされた割合(網羅率)
「Codecov」はカバレッジの測定ツールになります

テストの自動化とかは良くやっていて
レポート出してくれたりするのは
自分は使ったことは有りませんが
やはり開発系のツールも進化していて
大型の開発には必須になって来ていますね。


プロジェクト内のカバレッジレポートを
「Codecov」に送信するためのスクリプトが
何者かによって改ざんされ
資格情報やトークン、コードなどが盗まれた
ということなんだそうです。


我々も他人事ではない

「Codecov」を利用していたら情報が搾取されている
可能性があるわけです

利用を停止して、外部への情報漏れの
チェックをしなくてはならなくなります


また外部に公開されているツールを
利用している場合に外部ツールが攻撃されて
改竄されるとツールの利用者にも被害が及ぶため
外部ツールの利用にも気を払う必要が出てくるわけです。


対策

やはり個人情報を扱う場合は
外部との接触ポイントを極力抑えるしかないですね。

また利用しているツールやソフトウェアの
安全性にも気を払う必要が出て来ますね。


定期的に脆弱性のチェックを行い
ソースコードに個人情報や
認証情報は載せないっていう基本を
守ることで最低限のリスクは排除できます。

にしてもメルカリさんで起きたのは
非常に残念です・・・

どんなに大きな会社であっても
そんなに優れた人たちがいる会社であっても
起きる時は起きる

これを教訓にしてより一層
セキュリティー面の強化を考えていく
必要があるかなと思いますね

今回はこれまでです
それでは。


タグ :
#メルカリ
#個人情報流出
#開発
#ニュース