メルカリとOmiaiで立て続けに個人情報漏えい 共通点から探るサービス事業者の課題：半径300メートルのIT

メルカリとOmiaiの個人情報漏えい事件が大きな注目を集めています。これらの共通点からサービス事業者が取り組むべきセキュリティ認証における課題が見えてきました。

[宮田健，ITmedia]

　立て続けに「不正アクセス」による大きな事件が発生しました。ネットマーケティングが運営するマッチングアプリ「Omiai」が2021年5月21日、外部からの不正アクセスを受け、年齢確認審査書類としてアップロードされた171万1756件分の画像データを漏えいしたことが発覚しました。

　漏えいしたデータの中には、年齢確認審査書類として禁止されているマイナンバーカードの裏面データも1件含まれていました。マイナンバーの裏面ということは番号そのものが漏えいしていることになります。

　同日にはもう一件、メルカリによる顧客情報の漏えいも明らかになりました。こちらは少々込み入った手順で情報が漏えいしています。

　第1の攻撃としては、ソフトウェアテストなどに利用されるコードカバレッジツール「Codecov」に、サイバー攻撃者がサプライチェーン攻撃として不正なコードを埋め込みました。第2の攻撃では、Codecovを利用したメルカリの継続的インテグレーション（CI）環境で不正コードが実行され、メルカリが利用するサービスの認証情報が不正に奪われました。その結果、第三者がソースコード管理システム「GitHub」にアクセス可能になったというのが、今回の顧客情報漏えいのきっかけになっています。

併せて読みたい関連記事

• GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク
• テレワークかどうかは、もはや関係ない？　三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
• セキュリティインシデントの報告書で信頼を高める――コインチェックの対応に学べ
• メルカリがインシデントを公表、開発プロセス自動化のリスクに注意を

情報漏えいにおけるネットマーケティングとメルカリの共通点は？