メルカリの個人情報が流出！本人以外に会員情報が見られる状態に

個人情報漏えいの原因

2017年6月22日、ウェブ版「メルカリ」のサーバーメンテナンス中に、ユーザーの連絡により、一部の会員の個人情報が第三者が閲覧できる状態にあることがわかりました。

メルカリは当時、ウェブサイトの表示速度向上のため、キャッシュサーバーの切り替えを行っていました。
キャッシュサーバーとは、一度表示したことがあるサイトをスピーディに表示するための記録ファイル（キャッシュ）を保存するサーバーのこと。メルカリはその切り替え作業の中で、設定ミスにより、キャッシュすべきでない情報をキャッシュしてまい、特定の時間帯（22日9時41分～15時5分）にアクセスしたユーザーのページに、他のユーザーの情報が表示されてしまったということです。

閲覧された可能性のある情報は？

メルカリによると、一時的にアクセス可能になっていたユーザー情報は、氏名、住所、Eメールアドレス、銀行の口座番号・クレジットカード番号下4桁とその有効期限、その他サイト利用の履歴情報など。

クレジットカード番号については、閲覧可能だったのは下4桁のみだとしていますが、カードの有効期限も見られる状態であったので、利用者としてはかなり危険を感じたのではないかと思います。

事故後のメルカリの対応

しかしながら、事件発覚時のメルカリの対応は迅速でした。
メルカリのウェブサイトでの発表によると、22日14時41分にユーザーからの報告を受け、約一時間後の15時47分には問題を解消したうえ、サービスを復旧しました。

事件前後の経緯は、以下のように発表されています。

9:41  キャッシュサーバーの切り替えを実施

14:41  カスタマーサポートにてお客さまからの問い合わせ（「マイページをクリックしたら他人のアカウントのページが表示された」旨）を確認し、社内へ報告

15:05  キャッシュサーバーの切り替えを中止し、従来の設定へ戻す

15:16  Web版のメルカリをメンテナンスモードへ切り替え

15:38  キャッシュサーバーへのアクセスを遮断し、問題を完全解消

15:47  Web版のメルカリメンテナンスモードを終了

情報セキュリティ事故を起こしたということは批判されるべきことですが、公式発表の内容をそのまま受け取るならば、事故の対応手順については模範的だったと言えるかもしれません。

事故の影響と被害は？

メルカリ側の発表によると、本人以外に閲覧可能になっていたユーザー情報は最大54,180件で、そのうち、個人を特定できる情報（個人情報）にあたるのは、最大29,396件だということです。

ただし、これはあくまで「第三者が情報を閲覧できた可能性があった」ということであり、実際に第三者がその情報にアクセスするには、複数の偶発的な条件が必要であったとしました。
また、その後、深刻な情報漏えいやデータ改ざんなどは確認されなかったと報告しました。

メルカリの再発防止策

メルカリは、再発防止策として、キャッシュサーバーへのアクセスログの監視、キャッシュ設定ミスを検知するシステムの導入、誤ったキャッシュの検知とエンジニアへの通知システムの導入などを行うと公表しました。

メルカリの事例から言えること

今回のメルカリの事例では、個人情報漏えいの被害規模とは別に注目すべき点があります。
それは簡単に言うと、「対応の早さ」です。

公表されている内容が事実であるならば、事故の発見から原因の特定、不備のリカバー、外部への公表、及びその間の社内報告など、滞りなくスムーズに行われていたと予想されます。これは、セキュリティインシデントが起った際、関係者がどのように行動すべきか、社内であらかじめ手順が整備されていたことを示します。

情報セキュリティの認証制度であるプライバシーマークやISMS/ISO27001では、リスクを想定して、事前に対応する手順を整備しておくことが特に重要視されます。

もちろん、メルカリ側にはテクニカルな面でもっと追及されるべき瑕疵があるかもしれませんし、その後の再発防止策の策定などがどのように行われたのかを外部から伺い知ることはできません。

しかしながら、今回のメルカリの対応は、このような情報セキュリティについての基本をあらためて理解するための好例だと言えます。