メルカリ、外部ツールへの不正アクセスで個人情報が流出--氏名や口座など約2万8000件

　メルカリは5月21日、同社が利用している外部のコードカバレッジツール「Codecov」への不正アクセスにより、ソースコードの一部や顧客情報が外部に流出したと発表した。氏名や口座情報など、合計2万7889件におよぶという。

　流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7085件。2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件。2013年5月に実施したイベントに関連した情報6件。

　「メルペイ」加盟店情報（個人事業主名）7925件。「メルカリ」と「メルペイ」の取引先などに関する情報（氏名、生年月日、所属、Eメールアドレスなど）41件。同社子会社を含む一部従業員に関する情報（2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日など　※過去の在籍者や一部外部委託先含む）2615件。

　同社によれば、現時点で利用者への被害は確認されていないという。また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響などはないとしている。ただし、追加被害につながる不正アクセスを防ぐための対策や、影響範囲の一次調査について5月21日までに完了する予定。また、同事象発覚後「Codecov」の利用は停止しているという。

　

　加えて、認証情報の調査と初期化（無効化・交換）作業の実施（不正にアクセスされた全認証情報の調査および、初期化）。被害状況の特定とセキュリティ強化（GitHub上の個人情報有無の一次調査、不正にアクセスされた認証情報を用いた不正アクセス有無の最終調査）を行っているとのこと。

　今後は、外部のセキュリティ専門家の知見なども活用しながら、さらなるセキュリティ強化策を実施するほか、同件に関する調査を継続し、新たに知らせるべき内容が判明した場合は、速やかに報告するとしている。

　なお、今回の件により流出した情報の対象者には、個別の案内を実施するほか、同件に関する問い合わせ専用窓口も設置している。