メルカリとOmiaiの個人情報漏えい事件が大きな注目を集めています。これらの共通点からサービス事業者が取り組むべきセキュリティ認証における課題が見えてきました。
この記事は会員限定です。会員登録すると全てご覧いただけます。
立て続けに「不正アクセス」による大きな事件が発生しました。ネットマーケティングが運営するマッチングアプリ「Omiai」が2021年5月21日、外部からの不正アクセスを受け、年齢確認審査書類としてアップロードされた171万1756件分の画像データを漏えいしたことが発覚しました。
漏えいしたデータの中には、年齢確認審査書類として禁止されているマイナンバーカードの裏面データも1件含まれていました。マイナンバーの裏面ということは番号そのものが漏えいしていることになります。
同日にはもう一件、メルカリによる顧客情報の漏えいも明らかになりました。こちらは少々込み入った手順で情報が漏えいしています。
第1の攻撃としては、ソフトウェアテストなどに利用されるコードカバレッジツール「Codecov」に、サイバー攻撃者がサプライチェーン攻撃として不正なコードを埋め込みました。第2の攻撃では、Codecovを利用したメルカリの継続的インテグレーション(CI)環境で不正コードが実行され、メルカリが利用するサービスの認証情報が不正に奪われました。その結果、第三者がソースコード管理システム「GitHub」にアクセス可能になったというのが、今回の顧客情報漏えいのきっかけになっています。
Copyright © ITmedia, Inc. All Rights Reserved.