<速報> 空自浜松基地所属のヘリ、通信途絶える
    文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    「メルカリ」で個人情報流出…問われる運営側の安全対策

     人気のフリーマーケットアプリを運営する「メルカリ」で、最大約5万4000人分の個人情報が流出するトラブルが起きた。自分が対象者かどうか確認できるページが公開されているので、チェックしておきたい。(ITジャーナリスト・三上洋)

    住所や氏名、売上金も…5万人分が流出

    • メルカリによる個人情報流出の発表ページ
      メルカリによる個人情報流出の発表ページ

     「メルカリ」の情報流出が明らかになったのは6月22日。同社が自社サイトに「Web版のメルカリにおける個人情報流出に関するお詫びとご報告」を掲出した。ユーザーが購入や出品の履歴などを確認する「マイページ」を見ると、他人の個人情報が表示されていた――というもので、原因は不正アクセスなどではなくメルカリ側の設定ミスだという。

     メルカリによれば、他人に自分の情報が見られる可能性があった人が最大で5万4180人おり、このうち住所・氏名・メールアドレスが閲覧される可能性があった人が2万9396人にのぼる。

     他人に見られた可能性のある「情報」は、銀行口座番号やクレジットカードの下4桁と有効期限、購入・出品履歴、ポイント・売上金、やることリストなど。クレジットカード番号は下4桁だけなので不正利用される可能性はほぼないが、それ以外の購入・出品履歴、ポイントや売上金などが第三者に漏れた可能性がある。その人が何を売買し、いくら売り上げているという情報を見られたとすれば、深刻な個人情報流出と言えるだろう。

    自分が流出対象者か確認できるページを公開

    • 自分が流出対象か確認できるページ。ログインすると対象かどうか表示される
      自分が流出対象か確認できるページ。ログインすると対象かどうか表示される

     メルカリを利用している人のうち情報が流出した可能性のある人は、6月22日午前9時41分から午後3時5分までの間に、ウェブ版にアクセスした人だ。「自分はあてはまるのか」と気になる人も多いのではないか。メルカリでは流出対象かどうか確認できるページを公開した。
    メルカリの個人情報流出対象か確認できるページ

     ここにアクセスして、IDやパスワードを入力するなどしてログインすると、判定結果が表示される。筆者の場合は対象ではなかったので、左のような画像になった。メルカリは対象者に対して個別に連絡をすると発表しているので、ユーザーはアプリ内のメッセージを確認したほうがいいだろう。

    原因はキャッシュサーバーの設定ミス

     流出の原因はメルカリ側の設定ミスだ。「Mercari Engineering Blog」に詳しい内容が書かれている。
    CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして(Mercari Engineering Blog)

     この技術担当者のブログによれば、表示を高速化するための作業で設定ミスがあったという。ウェブサイトでは、ページを速く表示するために「キャッシュ」と呼ばれる一時ファイルを利用しているが、このファイルを置く外部サーバー(CDN:コンテンツデリバリーネットワーク)を切り替える際に設定ミスがあった。

     本来であれば個人情報はキャッシュに置かない設定にするはずが、誤ってキャッシュに保存されたため、別のユーザーに「マイページ」の情報が送られてしまったという。

     今回の情報流出はメルカリに責任があるのは明らかだ。ただし、いち早く情報を公開したことや技術的な問題まで詳しく公開したことは、今後のセキュリティー対策のために役に立つ。情報公開の早さ、その内容は評価できるだろう。

    ネットサービス各社はユーザーの安全対策を早急に!

     今回の個人情報流出は件数こそ多いものの、他の情報流出と比べて悪用の危険性は低いと筆者は考えている。流出とはいっても「偶然に表示された他人の情報を閲覧できた」というものであり、全部の情報がまとまったリストで流出したわけではないからだ。

     また不正アクセスやウイルス感染によるものではなく、悪意を持った第三者が仕掛けたものではないため、情報が悪用される危険性も低いと考えてもいいだろう。

     ただし設定ミスによって、個人情報の大規模な流出が起きたことは確かであり、メルカリの責任は重大だ。メルカリでは「多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります」として、意図しないキャッシュを早期に発見するなどの再発防止策を発表した。

     私たちユーザーには、このような運営側のトラブルによる情報流出を未然に防ぐ(すべ)がない。メルカリに限らず、他のネットサービス各社にも、この事件の教訓をいかして、しっかりした安全策をとってほしいものだ。

    ★参考記事

    スマホで人気の「フリマアプリ」でトラブル:サイバー護身術

    産業ガス大手の情報漏えい事件:サイバー護身術

    JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口:サイバー護身術

    2017年06月27日 14時30分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP