メルカリは2021年5月21日、コードカバレッジツール「Codecov」に対する不正アクセスにより、同社保有のプログラムソースコードの一部と一部顧客情報が外部流出したと公表した。
流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7,085件、2015年11月〜2018年1月の間でカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先などに関する情報7966件、同社子会社を含む一部従業員に関する情報2615件としている。稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響はないとしている。
情報流出に該当する顧客には個別に案内を進め、専用の問い合わせ窓口を設置する。
メルカリの報告によると、Codecovの運営元であるCodecov LLCが不正アクセスの被害に遭った際、同社が利用していた「Bash Uploader」が「定期的に不正に変更される事象が発生」したことで、Codecovのサービスに接続していた顧客の認証情報やトークンなどが流出したことが発端とされる。Codecov LLCの調査では2021年1月31日から不正アクセスが発生していたという。
Codecov LLCがこの情報を公表したのが2021年4月15日で、その翌日の4月16日にはメルカリも対策を開始し、認証情報の初期化を進めていたという。
ここで、ソースコードリポジトリを置くGitHubもこの問題を独自に調査しており、2021年4月23日に不正アクセスの可能性があることをメルカリに報告したという。これを受けてメルカリが本格的な調査を進めた結果、同日の内にソースコードの一部に不正アクセスが判明したという。
メルカリは即日、全社横断的な対策本部を設置し、関連当局等への報告を実施した。同時に、不正アクセスされたソースコードに認証情報などが含まれていないかを調査し、認証情報等の初期化作業を開始したとしている。
不正アクセスされたソースコード上に一部顧客情報があったことが判明したのは4月27日だったという。同社は事実の公表による追加被害のリスクを回避する目的で、不正アクセスへの対策と調査を先行して実施したため、情報の開示が2021年5月21日になったとしている。
メルカリが公表した情報によれば今回の漏えいの全貌は下図のようになる。
アプリケーションの開発やテスト、運用を自動化する目的で、各ツールやシステムを連携する際、認証情報やトークンを使うことになるが、ソースコードに直接認証情報を記入する方法はリスクとなる場合があるため、原則として禁止されることが多い。また、開発環境で扱うテストデータなどの取り扱いにも慎重さが求められる。開発環境やテスト環境で本番データを使う場合も、直接センシティブデータを扱うのではなく匿名化やマスク処理を施すなどの対策が必要だ。利用したデータは確実かつ速やかな削除も徹底する必要がある。特に、プロジェクトオーナーが不在になるなどの理由でライフサイクルを管理しきれないまま残されたリソースがある場合、リスクにつながるデータが残ったままとなっている可能性があるため、過去のプロジェクトを含め、組織としてチェックできる体制を確立することが重要だ。