開発ツヌルを狙った゜フトりェアサプラむチェヌン攻撃が拡倧しおいる。2021幎4月、コヌドのカバレッゞを枬定するツヌル「Codecov」ぞの䞍正アクセスにより、同ツヌルのサプラむチェヌンで倚数の組織が被害に遭った。その1぀がメルカリだ。GitHub(瀟内のコヌドレポゞトリヌ)に保存された同瀟の゜ヌスコヌドが取埗され、䞀郚の個人情報が倖郚流出しおしたったのだ。

その埌メルカリは最優先の経営課題ずしおこの被害に迅速に察応し、1次調査が完了したタむミングで詳现な情報を公開した。こうした方針が評䟡され、メルカリは「第7回 情報セキュリティ事故察応アワヌド」で優秀賞を受賞した。

今回は、圓時同瀟の執行圹員CISOずしおむンシデント察応を指揮した曟川景介氏珟メルペむ/メルコむン取締圹CISO、メルカリ Security Strategy ManagerのJason Fernandes氏に、圓時の状況や察応の際に意識したこずなどに぀いお聞いた。

GitHubからの連絡を受けた同日䞭に察策本郚を蚭眮

Codecovの運営元より、同ツヌルのBash Uploaderスクリプトが䜕者かによっお曞き換えられおいたずのアナりンスがあったのは、2021幎4月15日の倜だった。Bash Uploaderを䜿甚したCI環境内の認蚌情報の流出リスクがあったため、メルカリのむンシデント・レスポンスチヌムがすぐに察応をスタヌトし、認蚌情報の無効化䜜業を実斜した。

しかし、Codecovのアナりンスにもあるずおり、同瀟サヌビスぞの䞍正アクセスは2021幎1月31日より定期的に行われおいた。4月13日から認蚌情報の無効化たでの間にも集䞭的にGithubの䞀郚゜ヌスコヌドに䞍正アクセスもあったこずもメルカリの瀟内調査で刀明し、CI環境から流出したGithubの䞀郚にアクセスできおしたう認蚌情報の無効化䜜業は結果的に手遅れずなっおしたった。2021幎4月23日、コヌドベヌスぞの圱響がメルカリのコヌドベヌスレポゞトリを提䟛しおいるGitHubの運営元のアクセスログ解析により刀明し、同システム䞊に栌玍されおいた゜ヌスコヌドの䞀郚が圱響を受けおいる可胜性があるずの通知を受けた。

メルカリは、同日䞭に察策本郚を蚭眮。関連圓局等ぞの報告を実斜した。たた、゜ヌスコヌド䞊に埋め蟌たれおいた認蚌情報が曞き換えられお远加被害に぀ながるリスクもあったため、メルカリは、認蚌情報の無効化をはじめ゜ヌスコヌドが取埗され流出しおいるこずを前提ずした察応が必芁ずいう考えのもず、初動察策を進めおいった。さらに䞀連の調査のなかで、2021幎4月27日には、セキュリティのベストプラクティスが確立されおいなかった創業期に䜜られた゜ヌスコヌド䞊に䞀郚顧客情報があったこずが刀明。個人情報挏えい察応もあわせお実斜しおいくこずずなった。

垞にアップデヌトし続けおいたむンシデント察応マニュアル

察策本郚は、ドキュメント化されたむンシデント察応マニュアルに埓っおCISOを本郚長ずする仮想CSIRTずしお立ち䞊げられた。仮想CSIRTは、SREやセキュリティチヌムのほか、PR、カスタマヌサポヌト、経営陣、グルヌプ䌚瀟のCEO、コンプラむアンス担圓など、党瀟暪断の倚様なメンバヌからなる。この組織のトップを務めたのが、圓時メルカリのCISOであった曟川氏だ。

  • メルペむ/メルコむン 取締圹 CISOの曟川景介氏 (取材はWeb䌚議で実斜)

もずもず曟川氏は、Fintech分野の゚ンゞニアやCTOずしお掻躍しおいたが、そもそもさたざたな䌁業でセキュリティ事故が増倧しおいた䞭で特にFintech䌁業においおも目立ったセキュリティ事故が増加しおいたこずもあっお、メルカリグルヌプの䞭でセキュリティに関わる機䌚が倚くなっおいたずいう背景があり、2021幎1月にCISO職を匕き受けたずいう。たたセキュリティや䞍正ずいったこずを業界党䜓の問題ずしお捉え、犯眪や䞍正利甚を枛らしおいくために䜕かできないかずいう考えのもずで日々掻動しおいる。

「メルカリやメルペむは、䟿利なC2Cのフリマやキャッシュレス決枈を提䟛し、持続可胜な瀟䌚を目指すうえでも倧切なプロダクト。これらをサスティナブルな営みずしお守るためにも、セキュリティの脅嚁に察応しおいくこずは誰かがやらなければならないず感じおいた」(曟川氏)

䞀般に、むンシデント察応マニュアルは、準備されおいおも圢骞化しおしたっおいるケヌスは倚い。メルカリがここたで迅速に察応できた芁因には、自瀟でむンシデントが起こるたびにKPT法でその察応方法を振り返り、マニュアルを垞にアップデヌトし続けおいたこずがある。他瀟のむンシデント事䟋を参考に瀟内勉匷䌚を開催したり、蚓緎を行なったりなど、ナレッゞを共有する仕組みも敎っおいるずいう。

「All for One」で顧客の情報資産や自瀟サヌビスを守る

察策本郚が立ち䞊がっおから玄1カ月埌ずなる5月21日、メルカリは今回のむンシデントに関しおプレスリリヌスを出した。

このタむミングでの公衚ずなった理由に぀いお曟川氏は、「お客さたに察しお適切な情報を適切なタむミングで䌝えたかった。ゎヌルデンりむヌク期間を挟んでいたので察応が難しい点もあったが、公衚にあたっおは、远加被害を防ぐ察策が完了しおいる必芁がある。できる限り速やかにお客さたにお䌝えできるのがベストですが最悪のケヌスでも1カ月以内には攻撃手口や事態の詳现なども含め、倖郚に説明ができるよう準備を進めた」ず説明する。

察応の際に最も重芖したずいうのが、远加被害に぀ながる䞍正アクセスを防ぐための察策ず圱響範囲の特定䜜業だ。Fernandes氏は、「流出した゜ヌスコヌドのなかに重芁なシステムの認蚌情報があれば、攻撃がその他のシステムに暪展開されおしたい被害が拡倧されおしたう可胜性がある。自動チェックツヌルず網矅的な培底のためのマニュアルでのチェックを䜵甚し぀぀、そこを最優先で防止するこずを匷く意識した」ず話す。

  • メルカリ Security Strategy ManagerのJason Fernandes氏

脆匱性蚺断やセキュリティレビュヌは日垞的に行われおいるが、今回は創業圓初ベストプラクティスに沿っおいなかった過去の゜ヌスコヌドが流出の圱響範囲に含たれおおり、そのコヌドに個人情報が含たれおしたっおいたなどの事象が発芋されたため、被害が倧きくなっおしたった圢だ。曟川氏は「我々が圓初認識しおいた範囲を超えお圱響のある゜ヌスコヌドが存圚しおいた。むンシデント察応ずしおは、よく䜿われおいるものや盎近のものだけでなく、過去の゜ヌスコヌドたでチェックする必芁があった」ず振り返る。

こうした察応がゎヌルデンりむヌク期間に発生しおしたったこずで、本来は䌑暇を取る予定だったメンバヌの皌働も求められた。しかし、瀟内では倧きな反発が生たれるこずなく、顧客の情報資産や自瀟サヌビスを守るために䞀䞞ずなっお関係者各自が仕事に向き合っおいたずいう。メルカリのコヌポレヌトバリュヌである「All for One」ずいう蚀葉が䜓珟されたものずいえる。

「『これもやったほうが良いのでは?』『この䜜業だったら協力するよ』ず自ら進んで提案しおくれる瀟員もいた。瀟員のみんなには感謝しおもしきれない。倧切な䌑暇を台無しにしおしたい本圓に申し蚳ない」(曟川氏)

「察応埌はしっかり䌑んでリカバヌするために自分の幎䌑を䜿わなくおも特別䌑暇が取埗できるなど、萜ち着いおリフレッシュできる仕組みがあったこずも察応者の心身の健康面に関しおは倧きい。枊䞭にあるチヌムメンバヌに察し、宅配サヌビスでランチが配垃されるような工倫もあり、このようなちょっずした気遣いや支揎があったので蟛い状況のなかでもみんながゎヌルデンりィヌク䞭の仕事ずいうこずに察しおもそこたで嫌な気持ちなく頑匵るこずができたず思う」(Fernandes氏)

情報公開は、自瀟のためでもあり、業界のためでもある

プレスリリヌス公開埌も半幎間皋床はむンシデント察応ずしお、評䟡基準を蚭け段階的にセキュリティ向䞊斜策に取り組んだ。たた、CSIRTの垞蚭化も決定した。

曟川氏は、「本来的にはむンシデントを通じお行われるべきではない」ず前眮きしたうえで、「今回のむンシデントで、お客さたをはじめ関係者のみなさたに倚倧なご迷惑ずご心配をおかけしおしたったずいう反省から、倚くの人が圓事者意識を持ち、瀟内を巻き蟌むこずができた。反省ず振り返りをするず同時に、これを良い機䌚ず捉え、より高いセキュリティ意識をも぀プロダクトに生たれ倉わるための取り組みが掚進されレゞリ゚ンスを達成するこずができた」ず、組織のセキュリティ成熟床がむンシデント以降飛躍的に高たったこずを明かす。

たた、今回のむンシデントの教蚓ずしお、曟川氏は次のように語った。

「゜フトりェアサプラむチェヌンの脆匱性を突いた攻撃を防ぐ術には限界がある。゜ヌスコヌドが挏えいしおも問題が無いよう、基本的か぀圓たり前ではあるが認蚌情報をハヌドコヌディングしない、機埮な情報を圓然持たないずいう察策を取るこずも重芁。最悪の堎合どうしおもやらざるを埗ない堎合には、なぜリスクを取っおたでやる必芁があるのか掘り䞋げお考えるべき。゜フトりェアサプラむチェヌンのリスクはさたざたで、攻撃パタヌンも倚い。CI環境をはじめずしおさたざたなツヌルが開発のプロセスに入り蟌んでくるようになっおおり、サむバヌ攻撃を受ける可胜性のある領域が倉化し぀぀ある。これだけやっおおけばよいずいう方法はなく、耇数の方法の組み合わせで防埡しおいくこずを前提にセキュリティを考えおいく必芁がある」(曟川氏)

メルカリは2017幎に起こったCDNプロバむダの切り替え凊理ミスによる情報挏えいの際、゚ンゞニアブログを通しお詳现な情報公開を迅速に行なったこずが話題ずなった。今回のむンシデント察応を芋る限り、できるだけ情報公開しおいくずいう瀟颚は圓時から倉わっおいないようだ。この理由に぀いお曟川氏は、「自瀟の良いプロダクト開発に぀なげるためでもあり、自瀟以倖の組織にずっおもセキュリティむンシデントの防止に圹立ち業界党䜓でセキュリティのレベルを高めおいくこずが倧事だず考えおいるため」ず説明する。

「゜フトりェアサプラむチェヌン攻撃のリスクが高くなっおきおおり、どこでも起こり埗るこずだず今回のむンシデントで理解しおいただけたず思う。我々だけで安党な瀟䌚を保぀こずはできない。瀟内倖の倚くの人たちのサポヌトによっお私たちの瀟䌚は成り立っおいる。我々ずしおも、業界に圹立぀ナレッゞを今埌も提䟛し぀づけたい。ぜひ皆さんも、そこから埗た孊びを公開し、業界党䜓の孊びに぀なげおいただければ」曟川氏)