脱炭素とはなにか
メルカリ コーポレートサイトに掲載された「Web版のメルカリにおける個人情報流出に関するお詫びとご報告」
フリマアプリを展開するメルカリは6月22日、Web版メルカリで一部のユーザーの銀行口座情報など含む個人情報が流出したと発表した。情報漏洩した地域は日本版、US版それぞれに及ぶが、情報漏洩の範囲についての公表は日本版のみとなっている。
なお、原因究明、および対策はすでに完了済み。また、個人情報漏洩の影響はWeb版のみで、iOS版、Android版のメルカリは対象外だという。
メルカリは同日朝に、グローバル展開の加速をするべく執行役員に元Facebookのバイスプレジデント経験者を迎える発表をしたばかり。
メルカリのエンジニアブログによると、情報流出があった項目は以下のとおりだ。
| 影響範囲 | アクセス数 |
|---|---|
| 名前・住所・メールアドレス・電話番号 (※登録しているユーザーのみ) | 459名 |
| 銀行口座情報、クレジットカードの下4桁と有効期限(※登録しているユーザーのみ) | 1855名 |
| 購入・出品履歴 | 22458名 |
| ポイント・売上金、お知らせ、やることリスト | 53816名 |
※いずれもUS版は含まれない人数
個人情報が漏洩した可能性のあるユーザーについては、メルカリ事務局よりメルカリ内の個別メッセージを使って連絡済みという。
メルカリWeb版で一体何が起こったか?
専門的な話になるが、問題はメルカリWeb版のコンテンツをキャッシュしているCDN(Content Delivery Network/コンテンツ配信ネットワーク)のプロバイダー切り替えに際して発生した。
通常は、CDN側にキャッシュされないように設定していた各種個人情報が、移行時の設定変更によって、CDN側に残るようになっていたことにあるようだ(厳密には、ユーザー体験向上のため、CDN側には個人情報含むすべてのデータをキャッシュしないように設定していたという)。
この経緯とどのような設定によるものであったかは、エンジニアブログで詳しく情報公開している。
問題発生から対策完了までの時系列は以下のとおりだ。(メルカリのコーポレートサイトより)
9:41 キャッシュサーバーの切り替えを実施(問題発生)
14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
15:16 Web版のメルカリをメンテナンスモードへ切り替え
15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
15:47 Web版のメルカリメンテナンスモードを終了
問題の認識が「他人のアカウントページが見えた」ユーザーからの問い合わせがきっかけだったことがわかる。その後、原因救命から対策完了までは早く、約1時間という流れだ。
メルカリでは、再発防止策として「外形監視を利用した、CDNによる意図しないキャッシュを早期に検知できる仕組みを導入」するとしている。
