メルカリは6月22日、同社が提供するフリマアプリ「メルカリ」Web版において一部ユーザーの個人情報が他者から閲覧できる状態になっていたと発表した。同社は、今回の個人情報流出の原因はすでに判明しており、対応も完了しているとしている。
今回の個人情報流出は、2017年6月22日にWeb版のメルカリにおいて、パフォーマンス改善のためキャッシュサーバーの切り替えを行った後に発覚。ユーザーから「一部ユーザーの情報が他者から閲覧できる状態になっている」との問い合わせがあった。
同社は個人情報流出が明らかになった後、Web版のメルカリをメンテナンス状態とし、原因の究明。問題を解消し、経緯や対象範囲の確認を行った。同社は、「ID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されていない」としている。なお、個人情報が流出したのは、Web版のメルカリ(日本/US)で、iOS/Androidアプリ版のメルカリは対象外だという。
同社によると、個人情報を閲覧された可能性のあるユーザーは、障害が発生していた時間帯にメルカリWeb版にアクセスした54,180名。このうち、直接的に個人を特定し得ると考えられる情報(住所・氏名・メールアドレス)が閲覧できる状態になっていた可能性があるユーザーは29,396名。
なお、次の2つのケースそれぞれで「全て」の条件を満たさない限り第三者に個人情報を閲覧されないとのこと。同社は「複数の偶発的な条件が重なって生じる事象であり、実際に閲覧に至る可能性は非常に低い」としている。
■ケース1
- 障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に閲覧したページが、キャッシュサーバーに保存された。(この際、複数存在するキャッシュサーバーのひとつに保存される)
- ユーザーがアクセスした後、1時間以内に、アクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同じサーバーに接続された。
■ケース2
- ユーザーが購入者側である取引において、取引中の相手が上記ケース1に該当した。
- 対象の商品が匿名配送を利用していなかった。
また、閲覧できる可能性のあったユーザー情報は次の通り。
直接的に個人を特定し得る可能性がある情報
住所、氏名、メールアドレス(アドレス内に氏名情報が含まれていた場合)その他のユーザー情報(他の情報と組み合わせることで個人の特定は可能だが、単体で直ちに悪用されるとは考えにくいもの)
銀行口座番号・クレジットカードの下4桁と有効期限(登録しているユーザーのみ)、購入・出品履歴、ポイント・売上金、お知らせ、やることリスト
なお、購入・出品、登録情報の変更、振込申請など、「閲覧」以外の操作を行うことは一切できない状況だったとのこと。また、クレジットカード番号に関しては、下4桁のみが閲覧可能な状態であり、クレジットカード番号全ては閲覧できなかったという。
同社は今後、次の3項目を今月中に実施し、再発防止に努めるとしている。
- 外部から定期的にWeb版のメルカリにアクセスを行い、またCDN(Content Delivery Network)のアクセスログをリアルタイムに監視することで、意図しないキャッシュの早期発見と、関係するエンジニアへ通知を行うシステムの導入
- CDNサービスの配信設定を定期的にダウンロードし、キャッシュに関わる設定が正しく行われていることを自動で検証するプログラムの構築
- CDNサービスの提供元に協力をいただき、設定レビューの実施
