事故から学ぶ

メルカリ、個人情報など2万8000件流出 不正アクセスで

事故概要

業種 EC
発生時期 2021/5/21
漏えい人数 28000
事故概要

メルカリは21日、氏名や口座情報などの個人情報を含む計約2万8千件の情報が流出したと発表した。サービス開発に利用している外部の計測ツールが、不正アクセスを受けたのが原因としている。現時点で、流出した情報を悪用した顧客の被害や、サービスへの不正アクセスは確認していないという。
流出したのはメルカリでの売上金の振り込みに関連した口座情報約1万7千件のほか、スマホ決済サービス「メルペイ」の加盟店情報など計約2万8千件。
メルカリがフリマアプリの機能改善などのために利用している米コードコブの計測ツールが、不正アクセスを受けた。流出情報にはソースコード共有サイトの「GitHub(ギットハブ)」の認証情報なども含まれており、メルカリの顧客情報が含まれたソースコードなどが流出した。

メルカリは流出した認証情報を初期化し、コードコブのツールの利用を取りやめた。情報が流出した顧客には、対応を案内するとしている。

引用元 Nikkei

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

外部ツールからの情報流出 開発時にも十分注意をメルカリは顧客の個人情報などが流出したことを発表した。
約2万8000件分の個人情報が漏えいしたとのことだ。今回の個人情報漏えいは、メルカリがアプリ開発に活用している外部ツールが不正アクセスを受けたことが原因だ。
外部ツール経由でソースコードなどを取得出来る認証情報が流出し、そのソースコード内に個人情報が記載されていた。
一般的にはソースコードには個人情報は記載しないため、開発時のミスと言える。開発者にも個人情報の取り扱い方をしっかり教えていく必要がある。

具体例:

インターネット系のアプリケーション開発は分業化しておこなうため、顧客本体システムから開発会社にいくほど、同心円状にセキュリティーが甘くなる。発注元並みのセキュリティー条件を契約上は果たすが、実効性の点検がどの程度の厳格さと周期性をもって実行しているかが問われることになる。発注元の責任である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。