メルカリ個人情報流出、そのとき何が起こったか? —— 漏洩最大5万4000人、ユーザー指摘で発覚

メルカリのお詫び

メルカリ コーポレートサイトに掲載された「Web版のメルカリにおける個人情報流出に関するお詫びとご報告」

フリマアプリを展開するメルカリは6月22日、Web版メルカリで一部のユーザーの銀行口座情報など含む個人情報が流出したと発表した。情報漏洩した地域は日本版、US版それぞれに及ぶが、情報漏洩の範囲についての公表は日本版のみとなっている。

なお、原因究明、および対策はすでに完了済み。また、個人情報漏洩の影響はWeb版のみで、iOS版、Android版のメルカリは対象外だという。

メルカリは同日朝に、グローバル展開の加速をするべく執行役員に元Facebookのバイスプレジデント経験者を迎える発表をしたばかり。

メルカリのエンジニアブログによると、情報流出があった項目は以下のとおりだ。

影響範囲アクセス数
名前・住所・メールアドレス・電話番号 (※登録しているユーザーのみ)459名
銀行口座情報、クレジットカードの下4桁と有効期限(※登録しているユーザーのみ)1855名
購入・出品履歴22458名
ポイント・売上金、お知らせ、やることリスト53816名

※いずれもUS版は含まれない人数

個人情報が漏洩した可能性のあるユーザーについては、メルカリ事務局よりメルカリ内の個別メッセージを使って連絡済みという。

メルカリWeb版で一体何が起こったか?

専門的な話になるが、問題はメルカリWeb版のコンテンツをキャッシュしているCDN(Content Delivery Network/コンテンツ配信ネットワーク)のプロバイダー切り替えに際して発生した。

通常は、CDN側にキャッシュされないように設定していた各種個人情報が、移行時の設定変更によって、CDN側に残るようになっていたことにあるようだ(厳密には、ユーザー体験向上のため、CDN側には個人情報含むすべてのデータをキャッシュしないように設定していたという)。

この経緯とどのような設定によるものであったかは、エンジニアブログで詳しく情報公開している。

問題発生から対策完了までの時系列は以下のとおりだ。(メルカリのコーポレートサイトより)

6月22日(木)

9:41 キャッシュサーバーの切り替えを実施(問題発生)

14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告

15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す

15:16 Web版のメルカリをメンテナンスモードへ切り替え

15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消

15:47 Web版のメルカリメンテナンスモードを終了

問題の認識が「他人のアカウントページが見えた」ユーザーからの問い合わせがきっかけだったことがわかる。その後、原因救命から対策完了までは早く、約1時間という流れだ。

メルカリでは、再発防止策として「外形監視を利用した、CDNによる意図しないキャッシュを早期に検知できる仕組みを導入」するとしている。

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい