メルカリ 外部ツール「Codecov」の不正アクセスにより個人情報流出「なぜソースコードに個人情報が含まれている?」と疑問の声
テストカバレッジ可視化ツール「Codecov」への不正アクセスの影響でメルカリから個人情報流出しました。しかし、なぜソースコードに個人情報が含まれているのかが疑問になっています。
更新日:
ringoさん
VIEW
メルカリ 外部ツール「Codecov」の不正アクセスにより顧客情報流出
株式会社メルカリは、当社が利用している外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報が外部に流出したことを確認いたしましたので、お知らせいたします。t.co/H1vfb0rROC
株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流出したことを確認いたしましたので、お知らせいたします。
※テストのコード網羅率(プログラムのソースコードが自動テストされた割合)を計測するツール
本件に関して、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査については、5月21日までに完了しております。なお、現時点で本件の影響によるお客さまへの被害は確認されておりません。また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はありません。
本件により流出した情報の対象となる方々へは、本発表と同時に速やかに当社より個別のご案内を実施していくほか、本件に関するお問い合わせ専用窓口も設置しております。
今後は、外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と本件に関する調査を継続し、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。
本件につきまして、多大なるご迷惑とご心配をおかけすることを、心より深くお詫び申し上げます。
本件の概要と対応について、以下の通りご報告いたします。
出典:「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について | 株式会社メルカリ
株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,96
Codecovとは
※テストのコード網羅率(プログラムのソースコードが自動テストされた割合)を計測するツール
Codecov is the leading, dedicated code coverage solution. Try Codecov for free now to help your developers find untested code and deploy changes with confidence.
米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月30日(米国時間)、「Codecov Releases New Detections for Supply Chain Compromise|CISA」において、サイバー犯罪者がCodecovのBash Uploaderスクリプトに不正な改変を加えたと伝えた。該当するプロダクトを使用している場合は対応が必要だ。
このサイバーセキュリティインシデントのタイムラインは次のとおり。
米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月30日(米国時間)、サイバー犯罪者がCodecovのBash Uploaderスクリプトに不正な改変を加えたと伝えた。該当するプロダクトを使用している場合は対応が必要だ。
流出した経緯
本件による影響範囲の一次調査は5月21日までに完了しておりますが、現時点で流出が確認された情報は以下になります。
■ 「GitHub」上に格納されていた「メルカリ」(US版メルカリおよび過去提供サービスを含む)「メルペイ」のソースコードの一部
■ 上記ソースコード内に含まれる、以下のデータ並びに一部取引先および当社子会社を含む従業員に関する情報
■ 「メルカリ」の一部顧客情報を含むデータ
・2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額):17,085件
・2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容) :217件
・2013年5月に実施したイベントに関連した情報(氏名、年齢、性別、Eメールアドレス):6件
※現時点で「メルペイ」やUS版メルカリの顧客情報の流出は確認されておりません
■ 「メルカリ」および「メルペイ」の一部取引先等に関する情報:
・「メルペイ」加盟店情報(個人事業主名):7,925件
・「メルカリ」および「メルペイ」の取引先等に関する情報(氏名、生年月日、所属、Eメールアドレス等):41件
・当社子会社を含む一部従業員に関する情報(2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む):2,615件
なお、現時点で本件の影響によるお客さまへの被害は確認されておりません。また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はありません。今後、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。
出典:「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について | 株式会社メルカリ
みんなの声
カバレッジ計測ツールの不正アクセスでCIの情報が漏れた
⇨わかる
CIからGitHubのトークンとか漏れてソースが流出
⇨わかる
ソースに含まれた取引履歴と個人情報が大流出
⇨????????🤔🤔🤔🤔🤔🤔
t.co/uAJjv72ocO
メルカリのcodecovの件、なんで個人情報を入れたままにしてたのか不思議におもうんだけど、ありそうなのが、Gitに間違えて上げたファイルを履歴ごと消さなかったとかか?
メルカリがCodecov経由で個人情報流出したようだけど、Codecovって少し前にセキュリティインシデントあってパスワード更新しろって言ってたよなあ。
・codecov 関係でメルカリ・Omiaiのソースコードに不正アクセスできてしまう -> わかる
・ソースコードを参照したことにより個人情報が流出する -> ?
これソースコードに何万件もの個人情報を載せていたということ? そんなことある?
どっか読み間違えているかな
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について t.co/jy5m4CpJPC
メルカリはどんな対応をするのでしょうか?
誰も個人情報を流失して良い許可を出していません。
どんな賠償をするのでしょうか?
コードカバレッジツールへの攻撃でなんで個人情報が流出したのかと思ったら、GitHubに個人情報が保存されていたって完全にあかんヤツやん。
テストデータは実は本番データでしたって感じ?
t.co/kxZzfUMDzv t.co/gMdnlDMTQM
codecovが個人情報を保存しているなら問題だけど、テストデータにユーザーのリアル情報を使っているならそれはメルカリの問題であって、タイトル
> 「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報が外部に流出
は、不誠実だな〜って感じちゃった