メルカリ、ウェブ版で個人情報が流出--名前や銀行口座など最大5万4180人に影響

　メルカリは6月22日、ウェブ版のメルカリにおいて、一部ユーザーの個人情報が第三者から閲覧できる状態になっていたと発表した。

　閲覧された可能性のある個人情報は、名前、住所、メールアドレス、電話番号、銀行口座、クレジットカードの下4桁と有効期限、購入・出品履歴、ポイント、売上金、お知らせ、やることリスト。個人情報を閲覧された可能性があるユーザー数は、障害が発生した時間帯にウェブ版にアクセスした5万4180人におよぶという。

閲覧できる状態となっていた個人情報一覧

　原因として同社では、ウェブ版のパフォーマンス改善のため、コンテンツをキャッシュしているCDNのプロバイダ切り替えを実施。その際、本来キャッシュされない情報がCDN側にキャッシュされ、該当時間帯にアクセスしたユーザーが他のユーザー情報を閲覧できる状態にあったと説明している。

　ユーザーからの指摘で発覚後、設定の切り戻しとプロバイダ側のキャッシュを削除。現在では問題は解消し、通常通り運営しているという。なお、対象はウェブの日本語版、米国版のみで、iOS/Android版には影響はないとしている。

　今後の対応については、個人情報を閲覧された可能性のあるユーザーに対し、メルカリ事務局より個別メッセージで連絡するという。また、対策としては、外形監視を利用した、CDNによる意図しないキャッシュを早期に検知できる仕組みを導入するとしている。