日本でのOSINT — 電話番号編 / OSINT in Japan — Phone numbers（転載）

OSINT in Japan — Phone numbers

 私がジオロケーションでよく遭遇したのは、広告板と企業の電話番号を追跡することでした。日本でジオロケーションを行う際によく見かけるのが広告板で、その数は非常に多いです。道端にある広告板でも、お店の看板に書かれた電話番号でも、ほぼ確実に住所がわかります。

広告ボードに最初のヒントがある

特に注意すべき手がかりは、人や物の写真、英単語、ローマ字、ウェブサイト、見分けのつく看板、電話番号です。人の写真は逆引き検索で名前がわかる可能性があり、英単語は場所やビジネスの手がかりになり、ローマ字は日本語のローマ字表記なので翻訳サービスに簡単に入力できます。ウェブサイトは広告されているビジネスに直接アクセスでき、看板はその周辺に何があるかを示し、電話番号はビジネスにたどり着くことができ、正確な住所を知ることができます。

どの言語でもそうですが、翻訳は必ずしも直訳ではありません。特に日本語は高度な文字を含んでいます。特に日本語は高度な文字を含んでいるため、翻訳をそのまま鵜呑みにすることはできません。そこで、可能な限り母国語でGoogleマップを操作することをお勧めします。その方がより正確な結果が得られます。

Yandexの画像逆引き検索の「画像内のテキスト」機能は、スクリーンショットが認識できるほど鮮明であれば、母国語を表示することができます。このYandexの機能の使い方については、Ben氏による素晴らしいガイドがこちらにリンクされています。

固定電話番号のエリアコード

日本の電話の市外局番の素晴らしい地図は以下の通りです。この地図の左上の部分は北海道で、実際には日本の北に位置しています。

仮に番号が（0475-22-XXXX）であれば、千葉にあることがわかります。この場合、市外局番を見るだけで、04(7)となります。これが千葉だとわかるのは、地図上で手動で検索して、千葉と書いてあるのがわかるからです。

固定電話の市外局番は01から09まであり、01は日本の北に位置する北海道から始まり、南に位置する沖縄の09まであるので、市外局番の地図を見る前に、技術的には固定電話の番号の地理的な位置を大まかに把握することができます。

市外局番を持っていて、逆に市外局番を調べたい場合は、次のようにしてください。

denwam.com CTRL+Fで必要なエリアを検索すると、エリアコードが表示されるはずです。

電話番号を分解してみましょう。

0475-22-XXXXは固定電話の番号で、日本の固定電話の番号は10桁で構成されており、国際形式では11桁です（+8147522XXXX）。

• 81 = 日本の国番号
• 04＝千葉県
• 75(2) = 千葉県茂原市
• XXXX = 残りの番号

日本の国番号は+81で、市外局番は必ず0で始まり、その後にもう一桁の数字が続く。茂原市には複数の市外局番があるため、2を括弧に入れています。

Areaphones.com/Japanでは、電話番号を逆引きすることができるので、このようなことを覚えておく必要はありません。誰の番号かはわかりませんが（このサイトではわかりませんが）、どこの国の固定電話かはわかります。ただ、番号を国際的なフォーマットで書くことを忘れないでください。もしこれが携帯電話の番号であれば、携帯電話の番号であることだけがわかり、それ以外のことはわかりません。

また、電話番号の内訳としては、searchpeopledirectory.comがあります。これは瞬時にエリアを見つけることができます。

携帯電話・フリーダイヤル

携帯電話の番号は、最初の3桁が070、080、090のいずれかで、11桁の長さになります。denwa-bangou.comでは、携帯電話のキャリア名を確認するだけで、その番号が地理的にどこから来たものかを簡単に知ることができます。

フリーダイヤルの場合は、見つけた番号が有効かどうかをすぐに確認します。numverify.comでは、0120-041-XXX（House Do advertisements）がフリーダイヤルで、日本で有効な番号であることがわかります。日本のフリーダイヤルは、0120（または0800）で始まり、10桁の長さです。これは企業が使用するもので、顧客は電話をかける際にお金を払う必要がありません。

完全番号と部分番号

固定電話の番号は、ほとんどの広告板に掲載されているもので、住所を知ることができるものです。

完全番号（オプション1）

フルナンバーは、Telnaviやjpnumberがビジネスの正確な位置を示すのに優れているので、最も簡単に検索できます。

Telnaviは日本の素晴らしいリソースで、固定電話、携帯電話、IP、フリーダイヤルなど、あらゆる種類の番号を検索できます。私が主に使っているのは固定電話で、その際には最も正確な検索ができます。

Telnaviでは、このお店の正確な住所、最寄りの駅、日本語の店名、そして正確な位置を示すGoogleマップを知ることができます。グーグルマップに翻訳を貼り付けても、母国語の場合ほど正確ではないので、このグーグルマップのリンクが下にあるのは非常に助かります。

完全番号（オプション2）

ここでは、「/」の後に10桁の電話番号を入力してください。24u.jp/0123456789 . このサイトは、日本国内の企業を探すのに最適なサイトです。特に、企業の法人番号や、その企業を管理している人の名前を教えてくれる場合もあります。同様に、企業番号をお持ちの方は、「/」の後に番号を入力するだけで、このサイトから企業名を見つけることができます。

部分番号（オプション1）

下のスクリーンショットを（Yandexのtext in image機能で）逆画像検索すると、下のようなお店の名前が日本語で出てきました。日本語にTelnaviまたはjpnumberの部分電話番号を貼り付けます。例：ビ ジ ネ ス ス カ イ シ ー ホ テ ル 2 3 - 2 4 0 0 と す る と 、シ ス テ ム 上 に あ る 一 部 の 番 号 と 、既 に 得 ら れ て い る 地 名 の 番 号 が 照 合 さ れ ま す 。これで正確な住所がわかりました。

部分番号（オプション2）

上記のホテルの日本名をitp.ne.jpに貼り付けると、検索してくれます。大抵は住所、地図、電話番号が表示されます。

itp.ne.jpは、企業名を入力するだけで、その企業の正確な所在地と電話番号を検索することができるビジネス検索サイトです。これは、電話番号のない企業や部分的な電話番号を見つけるのに便利です。

特にYandexから日本語訳をコピー＆ペーストする際には、文字間のスペースを取り除いてください。Yandexはスペースを自動的に追加し、itp.ne.jpはスペースがあるとテキストを認識しません。

世界で使われているリソースが日本でも使える

numlookup.comでは、通信事業者名と都道府県名を知ることができます。キャリア名からは、その番号が日本のどの地域に拠点を置いているかを知ることができます（例：NTT - West/East Japan）。

Searchyellowdirectory.comは、その番号の市外局番を教えてくれます。

sync.meでは、地域と県を指定することができます。

emobiletracker.comでは、地域やキャリア名などのデータを提供しています。

スキンケア用ソルトのオンラインショップに不正アクセス（転載）～想定損害賠償額は約5200万円か～

 「Rモール」もEC-CUBE

スキンケア用ソルトのオンラインショップに不正アクセス

スキンケア用ソルトなどを扱うオンラインショップ「Rモール」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明した。

同サイトを運営する黎明によれば、外部より脆弱性を突く不正アクセスを受けたもので、2019年11月5日から2020年10月20日にかけて、購入時に利用されたクレジットカード情報が外部に流出し、一部が不正利用された可能性があるという。

対象となる顧客は2032人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。2020年10月20日にクレジットカード会社からクレジットカード情報が流出している可能性があるとの指摘があり、問題が判明した。

2021年1月27日に外部事業者による調査が完了。個人情報保護委員会に2月5日に報告し、同日警察へ被害を届けた。対象となる顧客に対しては、5月27日より書面で経緯の報告と謝罪を行っている。

米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表（転載）

SttyK (してぃーきっず) retweeted: 「経済安全保障関連動向」ページ(2021年3月)を更新しました ●米商務省が新たに14企業等をEntityListに追加 ●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表 続きはこちらからご覧ください→moj.go.jp/psia/keizaianp… #公安調査庁 #経済安全保障 #経済安保 #技術流出:

SttyK (してぃーきっず) retweeted:

「経済安全保障関連動向」ページ(2021年3月)を更新しました
●米商務省が新たに14企業等をEntityListに追加
●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表
続きはこちらからご覧ください→moj.go.jp/psia/keizaianp…
#公安調査庁 #経済安全保障 #経済安保 #技術流出

• 2021年3月5日から3月11日まで開催された中国の全国人民代表大会において「第14次5カ年計画」が審議され，同月12日に公表された。同計画では，先端分野における科学技術力の向上などが示されている。
  
  
• 米連邦通信委員会（FCC）は，国家安全保障上の脅威となる通信機器及びサービスのリストを公表した。リストにはファーウェイ(Huawei / 華為)，ZTE(中興通訊)，ハイテラ(Hytera / 海能達通信)，ハイクビジョン(Hikvision / 杭州海康威视数字技术)，ダーファ(Dahua / 大華技術)が記載されている。
  
  
• 米商務省産業安全保障局は，ミャンマーに対する輸出管理を強化するとともに，ミャンマー国防省などをEntity Listに追加したことを発表した。
  
  
• 米サイバーセキュリティ・インフラセキュリティ庁は，Microsoft製品のゼロデイ脆弱性が利用されたサイバー攻撃について緊急指令を発出し，米連邦政府機関に対して，同製品の使用について早急に対策を講じるよう求めた。
  
  
• ホワイトハウスは，国際社会との関わり方に関するバイデン米大統領のビジョンを示すとともに，政権が公式な安全保障戦略を策定するまでの政府機関の指針として，暫定版国家安全保障戦略を発表した。
  
  
• 米商務省産業安全保障局は，ロシアの大量破壊兵器開発プログラム及び化学兵器に関連する活動を支援していたとして14の企業等をEntity Listに追加することを発表した。
  
  
• 米人工知能国家安全保障委員会は，2025年までに米国が人工知能（AI）に対応するための戦略を示した最終報告書を米国議会及び大統領に提出した。

「事故物件買取センター」とは？（転載）

 全国から問い合わせ殺到 事故物件買取センターの勢い止まらず。関西から東京に出店

事故物件と聞くと関わりたくないと思う人が大半だろう。だが、そんな物件ばかりを買い取り、残置物を処理、改装して市場に出している会社がある。株式会社あきんどが手掛ける事故物件買取センターである。

5年前にスタート、ここ1年で急成長

同社は大阪府守口市に本社を置く不動産買取再販を行う株式会社なにわ工務店の関係会社で、事故物件を専門に扱う別会社を始めたのは約5年前のこと。

「なにわ工務店経営者の家族への、知人からの相談がきっかけでした。親が自宅で亡くなり、その家を処分したいと考えているが引き受けてくれる不動産会社がなくて困っているとのこと。

それまでの買取物件の中にもそうした物件はあったのでしょうが、相談を受けて改めてそうした問題で困っている人がいること、さらにこれからも増えるだろうことに気づいたのです。

それで株式会社あきんどを立ち上げ、事故物件を専門に扱うことになりました。2021年7月で立ち上げからちょうど5年になります」。

最初は地元である京阪エリアを中心にチラシを撒く程度で、問い合わせも周辺からだけ。月に数件くらいだったというが、1年ほど前にホームページをリニューアルしたことで徐々に問い合わせが増加。エリアを全国に広げたことで月に100件を超える個人や業者からの問い合わせが届くようになったという。

そのうちから買い取れるものがあれば月に15～20軒は買い取っているという。

この間で少しずつ競合と思われる会社も出てくるようにもなったが、全国に無料で査定に行って積み上げてきた実績は強く、今現在では日本で一番事故物件を扱っているのではないかと思われる。

生死に関わることから建物、地域に瑕疵のある物件も

事故の内容としては孤独死、自殺、殺人や心中などのように人の生き死にに関わるもののほか、火事にあった、傾きがある、再建築不可、シロアリ問題がある、長屋・連棟、狭小地、借地などといった建物、土地に瑕疵や売りにくい条件がある、近隣とトラブル、もめごとがある、クレーマーがいる、ごみ屋敷になっているなど人の問題まで幅広い。

多くの人は最初、地元の不動産会社に相談するものの、そこで敬遠されてこの会社に、ということも少なくない。

事故物件という言葉だけで特殊なイメージを持ち、扱いたくない、扱いづらいと思ったり、残置物や清掃などの手間をかけたくない、そうしたノウハウがないなどが敬遠される理由だろう。地元だけに風評被害を懸念するということもあろう。

だが、同社の場合には残置物の処理から始まる改装、地元の不動産会社に依頼しての売却活動に至る一連の作業は事故物件以外でも同じ。つまり、ノウハウがあるのである。

査定に独自のノウハウ、売れなくても仕方ないという覚悟

さらに近畿圏から始まり、東海、九州などへ広がって全国で査定経験を積み重ねてきたこともノウハウとしては大きい。

「事故の影響性は物件、地域、居住者などによって違います。駅前の利便性優先のマンションならそれほどの瑕疵と思われないものが、新築の住宅での事故だと大きなダメージになりますし、高齢のご夫婦が住んでいたなら気にならないところが、若い夫婦で事故があったとなると売りにくい。

またその街の人口構成、購買層がいるかどうか、過去の成約事例に加えて人の流れや地域柄などを考えます。もちろん、必ず現地は見ます。従来の査定よりも検討することが多いです」

相場はあってないようなもの。一般的な相場に比べれば安いのは確かだが、場所により、需要と供給によって異なるという。それは同社の急いで売ろうとしていないという同社の姿勢とも重なる。

「不動産には賞味期限がなく、適切に手を入れておけば腐りません。私たちの改装では床から壁、ユニットバスその他の水回りまで徹底的にリフォームするので事柄は残るとしても面影はなくなります。

そして、安ければ問い合わせはきます。とはいえ、反響が多くすぐに決まる物件もあれば、1年以上動かない物件も。必ず、すぐ売れるというわけではありません」。

物件としては父が亡くなるなどして相続した物件の売却依頼が多く、全体の半分くらいを占める。

その家で生まれ育った人もいるにはいるが、自分が使う家ではないという意識があるようで、感傷的になるよりは早く処分したいという気持ちが強い場合が多いそうだ。ちなみに人が亡くなった家のうちの7～8割は相続で取得したものだという。

プライバシーには細心の注意

事故物件の場合、特に注意すべきはプライバシーの問題。

「買取依頼を寄せてくる方々はネガティブな事情に直面された方が多いので、誰にも知られることなく、売却を済ませたいという要望をお持ちです。

今の時代、プライバシー保護は当たり前に言われていますが、事故物件を扱う場合にはそれ以上に最大級の配慮が必要だと感じています」。

その点から考えると事故物件で地元に事情を知られたくないと考えた場合、実は地元の不動産会社以外に依頼するほうが情報の流出を抑えられるという考え方もあり得るのではなかろうか。

ごみ屋敷居住者は複数のトラブルを抱えている

数は多くはないが、事故、事件があった物件の相談もある。本人以外にも士業を経由しての相談もある。近隣トラブル、近所のクレーマー、ごみ屋敷が理由の物件もあり、実に幅広い相談が持ちかけられる。

「ごみ屋敷の所有者の多くは債務を抱えています。問題をひとつ抱えているひとは、聞いてみると他の問題も抱えているものです。

そこで今のままで買い取りではなく、経済状況によっては自己破産を勧めることなどもあり、最良の解決が提案できるようにいつもなにかしらの勉強をしている感じです」。

こうした相談に応じ、全国に無料で査定に行き、すぐ売れるわけでもない、融資のつかない物件を現金で買い取れるのはなにわ工務店本体の資力があるから。あらかじめ、買い先を見つけてから購入という会社はあるが、出口を考えずに買えるのはそのためだ。

それでも買わない物件の条件とは？

他社が買わない物件を積極的に買っているとはいえ、買わない物件もある。それが過去に地域での売買履歴がなく、賃貸ニーズもなく、修復が困難なほど老朽化した物件で、仮に解体しても利益が全く見込めないものだ。

「流通性がなくても家がしっかりしていれば賃貸用に買う人がいるでしょうし、買取金額が安ければ残置物があって、建物が多少傷んでいても賃貸ニーズがあれば買うこともあり得ます。どれかひとつの条件をクリアしていれば考えますが、3つの条件が重なっている物件はダメ。買いません」。

この3条件が重なる物件は投資すべき物件ではなく、再度流通させるのは難しいというわけだ。

現状では同社物件を知る手立てはないが……

さて、様々な地域でワケありとはいえ、相場より安い物件が供給されているのであれば買いたいと考える人も多いはず。だが、現状では同社が手がけた物件を探すのは難しい。

「買うまでは他社には見せず、購入後もしばらくはどうリフォームするかを考えて寝かせていたりします。その後、リフォームしたら販売は地元の不動産会社に任せており、自社でレインズに載せることはあるにしても売るところにはあまり関与しません。

弊社が事故物件を扱っていることを知ったいろいろな地域の方から買いたい、賃貸に使えるような物件はないかなどお問い合わせは受けますが、将来的にホームページに載せることはあるかもしれませんが、現状では地元の会社さんにお任せしています」。

物件はきれいに改装され、地元の不動産会社が販売を担当。もちろん、過去の事情はきちんと説明した上で売られているが、そこでは同社の存在は見えなくなっているのである。

東京に支店、その次は九州、愛知にも

ただ、今後の展開次第ではもしかしたらという期待もある。なにしろ、同社の事業は現在急成長を見せている。手始めに首都圏に拠点を持つそうで、すでに御徒町にオフィスを手配済み。知事免許を大臣免許に書き換え、7月下旬からは本格的に業務を開始。同時に首都圏で流すTVCMも作成中。

さらに今年、来年くらいには福岡、愛知への出店を考えているとも。5年前にこれからニーズがあると読んだ通りの展開になっているのだ。

ちなみに関西から始めたビジネスながら現在の取り扱いでは東京23区を除く首都圏の千葉県、埼玉県、神奈川県を含めた関東エリアが多く、ついで福岡をトップに熊本、佐賀など九州エリアなどとなっているとか。

「これまで本当に大阪から無料で査定に来てくれるんですか？あとで多額を請求されたりしませんか？と不安がられていましたが、今後はそれが無くなります(笑)」。事故物件がきちんと流通するようになる日も近い。

被害者急増中～Amazonギフト券の買取詐欺にあった体験談（転載）

被害者急増中～Amazonギフト券の買取詐欺にあった体験談:

先日、何かのタイミングで知人に“Amazonギフト券”を貰いました。

特に欲しい商品や使う予定などもありませんでしたので、どこかに買取してもらおうと思い、ネットで検索した業者に依頼することに。

しかし、その買取依頼した業者がとんでもない詐欺業者だったため今回、他に被害が起きないように私の体験談をご紹介いたします。

依頼した業者は“買取〇〇〇95”。 

ホー厶ページの申込フォームから“Amazonギフト券コード番号”を入力して送信をクリックしました。

しかし、待てど暮らせど入金なし。

いつまで経っても入金がないので仕方なく“お問い合わせフォー厶”から連絡しましたが、返答はなし。 

ホー厶ページには“60分”で入金と記載されていましたが、申込からすでに“1週間”音沙汰ありません。

改めて業者名で調べてみたところ“口コミ投稿”が悪評だらけでした。

やたらと“買取率”を高く記載する業者は“詐欺”の可能性があるため買取を依頼する際には要注意です。

上記以外の業者であったとしても“Amazonギフト券”の買取詐欺はかなり多く、被害者が急増中です。 

事前に買取業者の”口コミ投稿”をチェックするなどして、下調べを怠らないよう気を付けてください。

YouTubeの再生回数を意図的に購入できるサービス（転載）～個人的には実現のための仕組みが気になる～

YouTubeの再生回数を意図的に購入できるサービス:

今では”将来のなりたい職業”にも殿堂入りする勢いの“YouTuber”。

バラつきはありますが、再生回数“10回”で“1円”と試算されておりメディアでも取り上げられている“1億回再生”は、正に億り人手前。

ただ、現実世界はそう甘くはなくヒエラルキー階層は雲の上だけが儲かっている仕組み、今後参入を考えられている方にとって、この再生回数は、大きな鍵となります。

そんな中、この再生回数を簡単に稼げるサービスが話題のようです。

 SNS-MALL.TOKYO

こちらのサービス、“YouTube”の再生回数やチャンネル登録数などを意図的に購入できるというもの。

サービスには”評価”や”広告収入”も販売されており”YouTube”をこちらだけで網羅できてしまえる現代のサクラシステムといえます。

 実際は、投稿する動画そのものに魅力がなければ長続きしませんが新しい店に行列があれば、後ろに並びたくなるのが日本の特性です。

今後、始める方にとって足掛かり程度には、なるのかも知れません。

また、”YouTube”以外であっても“Twitter”や“インスタグラム”などSNSの“フォロワー”なども販売中。 

これらは”フォロワー”を集めた後“アカウント”をそのまま転売して利益を得ようとる輩のためですが健全にSNSを楽しむ方にとっては関係ないサービスかも知れません。

不動産が下がるとしても、投資した方が儲かる理由（転載）～不動産はエブリデイ買い時～

不動産が下がるとしても、投資した方が儲かる理由:

今月更に東京23区に不動産を購入しようと、金融機関に融資の打診をしています。もし借りられれば、いよいよ2ケタ億円の借入残高になります。お金は借りられるだけ借りておいた方が良いというのが私の投資の考え方です。

しかし、東京の不動産は上昇を続けており、今から購入すると高値掴みになるのではないかという、「不動産評論家」の意見もあるようです。

まず、私は不動産の価格に関しては大きく下がる可能性は低いと考えています。また、もし不動産価格が下がったとしても、投資した方が儲かる可能性も充分にあります。それは、借入金利と不動産賃貸利回りの差（イールドギャップ）が時間と共に収益を積み上げていくからです。

具体的な数字で考えてみましょう。

賃貸利回りが4.0％（管理費などを差し引いたネット利回り）の中古ワンルームマンションを2000万円の全額借入で購入するとします。借入金利が1.5％（金利差2.5％）であれば、35年借入で61,236円となります。

家賃は手取りで66,666円で、元利均等ローンの返済額は毎月61,236円ですから、毎月5000円程度のキャッシュフローを得ることができます（これは年に1回の固定資産税の支払いに充当できます）。

ローン返済の初月の内訳は36,236円が元本返済、25,000円が利息分となります。元本が減っていくと、毎月の元本返済部分の比率が高くなっていき、借入残高が減少していきます。返済を続けていくと

5年後には、借入残高17,743,664円（2,256,336円の返済）
10年後には、借入残高15,311,709円（4,688,291円の返済）

となります。

つまり、10年後であれば、2割以上物件価格が下がっていても、売却すれば利益が出るということです。

上記例のように、金利差が2.5％程度あれば、35年ローンで毎月のキャッシュフローが得られ、年間で50万円弱の含み益を蓄積することができます。それが物件価格の下落よりも大きければ、物件価格が下がっても投資した方が有利となるのです。

これは、株式投資で、値上がりするかしないかというキャピタルゲインに賭ける投資をしている人には、なかなか理解できない不動産投資の醍醐味です。自分が返済するのではなく、賃借人の家賃で勝手に返済が進むのです。

金融資産への投資で、毎日消耗している人は、是非不動産投資への投資対象の拡大を実践するきっかけにしてみてください。

※内藤忍、及び株式会社資産デザイン研究所、株式会社資産デザイン・ソリューションズは、国内外の不動産、実物資産のご紹介、資産配分などの投資アドバイスは行いますが、金融商品の個別銘柄の勧誘・推奨などの投資助言行為は一切行っておりません。また、投資の最終判断はご自身の責任でお願いいたします。

メルカリがインシデントを公表（転載）～GitHubに個人情報保存するなよ😡～

メルカリがインシデントを公表、開発プロセス自動化のリスクに注意を:

　メルカリは2021年5月21日、コードカバレッジツール「Codecov」に対する不正アクセスにより、同社保有のプログラムソースコードの一部と一部顧客情報が外部流出したと公表した。

　流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7,085件、2015年11月〜2018年1月の間でカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先などに関する情報7966件、同社子会社を含む一部従業員に関する情報2615件としている。稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響はないとしている。

　情報流出に該当する顧客には個別に案内を進め、専用の問い合わせ窓口を設置する。

　メルカリの報告によると、Codecovの運営元であるCodecov LLCが不正アクセスの被害に遭った際、同社が利用していた「Bash Uploader」が「定期的に不正に変更される事象が発生」したことで、Codecovのサービスに接続していた顧客の認証情報やトークンなどが流出したことが発端とされる。Codecov LLCの調査では2021年1月31日から不正アクセスが発生していたという。

　Codecov LLCがこの情報を公表したのが2021年4月15日で、その翌日の4月16日にはメルカリも対策を開始し、認証情報の初期化を進めていたという。

　ここで、ソースコードリポジトリを置くGitHubもこの問題を独自に調査しており、2021年4月23日に不正アクセスの可能性があることをメルカリに報告したという。これを受けてメルカリが本格的な調査を進めた結果、同日の内にソースコードの一部に不正アクセスが判明したという。

　メルカリは即日、全社横断的な対策本部を設置し、関連当局等への報告を実施した。同時に、不正アクセスされたソースコードに認証情報などが含まれていないかを調査し、認証情報等の初期化作業を開始したとしている。

　不正アクセスされたソースコード上に一部顧客情報があったことが判明したのは4月27日だったという。同社は事実の公表による追加被害のリスクを回避する目的で、不正アクセスへの対策と調査を先行して実施したため、情報の開示が2021年5月21日になったとしている。

　メルカリが公表した情報によれば今回の漏えいの全貌は下図のようになる。

　アプリケーションの開発やテスト、運用を自動化する目的で、各ツールやシステムを連携する際、認証情報やトークンを使うことになるが、ソースコードに直接認証情報を記入する方法はリスクとなる場合があるため、原則として禁止されることが多い。また、開発環境で扱うテストデータなどの取り扱いにも慎重さが求められる。開発環境やテスト環境で本番データを使う場合も、直接センシティブデータを扱うのではなく匿名化やマスク処理を施すなどの対策が必要だ。利用したデータは確実かつ速やかな削除も徹底する必要がある。特に、プロジェクトオーナーが不在になるなどの理由でライフサイクルを管理しきれないまま残されたリソースがある場合、リスクにつながるデータが残ったままとなっている可能性があるため、過去のプロジェクトを含め、組織としてチェックできる体制を確立することが重要だ。