書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

メルカリが個人情報を流出・・・メルカリのセキュリティは大丈夫なのか?

ECセキュリティー

メルカリで54,180名の個人情報が流出しました。

流出した内訳はこんな感じ↓

  • 名前・住所・メールアドレス・電話番号・・・459名
  • 銀行口座情報、クレジットカードの下4桁と有効期限・・・1855名
  • 購入・出品履歴・・・22458名
  • ポイント・売上金、お知らせ、やることリスト・・・53816名

フリマアプリ「メルカリ」のWeb版で22日、一時5万4千人分の個人情報が流出したとして、同日、運営企業が公式サイトで謝罪。

経緯については「Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました」とし、「発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました」と説明。対象サービスはWeb版の「メルカリ(日本/US)」でiOSとAndroidアプリ版のユーザーは対象外となる。

さらに、個人情報を閲覧された可能性があるユーザーは5万4180人に及ぶと発表。「名前・住所・メールアドレス・電話番号」「銀行口座、クレジットカードの下4桁と有効期限」「購入・出品履歴」「ポイント・売上金、お知らせ、やることリスト」が閲覧できる状態となっていたという。

今後の対応については「個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします」と説明した。

メルカリ、5万4千人分の個人情報流出 公式サイトで謝罪

なぜ、個人情報が流出したのか?

今回、メルカリで個人情報が流出した原因は、キャッシュサーバーの切替えを行った際に、CDNにキャッシュされるべきではない個人情報がキャッシュされてしまったとのことです。

メルカリのエンジニアブログに詳しい説明があります。

切り替え前のCDNプロバイダはCache-Controlヘッダではなく、CDNの設定でキャッシュを制御することで、メルカリWeb版においては全くキャッシュが行われないようにしていました。

切り替え後のCDNプロバイダでは、Cache-Controlヘッダでキャッシュの制御が可能であるため(この制御はnginxの設定により行います)、CDNの設定によるキャッシュ無効化は行わず切り替えを行いました。切替前の検証では手元のマシンのhostsファイルを編集し、数回アクセスを行い問題なく動作していることを確認しました。

問題発覚後に切り替え後CDNのキャッシュの仕様を再度確認したところ、キャッシュをしないのは

Cache-Control: private

が含まれている場合のみとわかりました。Expiresヘッダが過去の日付であっても、Cache-Controlヘッダが存在している場合は利用されないという仕様になっておりました。このためCDNのサーバ上にお客さまの情報が含まれたキャッシュが作成され、別のお客さまへ配信される事態に至りました。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして

しっかりと流出した原因や経緯を説明しているのは高感度高いですよね。はてブでも全然叩かれてないもんね。
これがヤフーや楽天だったらボロクソ叩かれますよ。

メルカリは2段階認証がない・・・

メルカリは2段階認証がないんだよね。
早く、2段階認証できるようになって欲しいですよね。

日本のAmazonも2段階認証に対応しています。

日本のAmazonで2段階認証を設定する
ようやく日本のAmazonでも2段階認証が設定できるようになりました。 ちなみに、米Amazonでは、かなり前から2段階認証が可能でした。なんで日本のAmazonは2段階認証の導入が遅かったんだろうね? ということで、日本のAmazonで2...

あの楽天ですら、2段階認証は設定できませんが、ログイン時にログイン通知がメールに飛ぶように設定することは可能ですからね。設定していない方はすぐにでも設定してください。

メルカリが預かっているお金をハッキングされたら・・・

メルカリが、ヤフオクと決定的に違うのは、購入者からのお金をメルカリが一度預かるという点です。購入者が受取通知をするまでは、メルカリにプールされるのです。

ヤフオクも、商品のカテゴリによっては、Yahoo!かんたん決済しか利用できないようになっていて、メルカリ同様に、落札者による商品の受取通知のあと、出品者に入金する方式を取っているけどね。

これによるメルカリのメリットは、1点だけ販売された商品を、出品者が複数購入しませんかと落札者にメールで持ちかける取引を、未然に防止することができます。メルカリには、メルカリというプラットフォームを経由して売れた商品に関しては、全て手数料が入る仕組みになっているのです。

購入者のメリットは、実際に送られてきたものが偽物だったり、壊れていた際に、メルカリの運営に申請することで、返品・返金できないというトラブルを防止することができます。
購入者が受取通知をしなければ、出品者にお金が入ってこないので、出品者も誠実に対応することになるからね。

メルカリで購入後に、一部返金してもらう方法
メルカリで購入したことがある方は多いと思います。 メルカリで商品を購入した際、商品説明に記載されていた内容と、コンディションが全然違うということを経験されたことのある方もいると思います。 「美品」とかいてあったのに、「傷だらけ」だったりなど...

このような仕組みがメルカリにある以上、メルカリが預かっているお金がハッキングされたら怖いよね。
ハッカーは当然ここを狙うはずなので。

ここをハッキングされたらメルカリの信用は地に落ちてしまいますから、万全を期してると思いますけど、くれぐれもよろしくお願いします。

まとめ

今回、メルカリにおいて個人情報が流出したとはいえ、初動対応が良かったこともあって炎上しませんでした。

今後、メルカリには、2段階認証の導入など、ユーザーのセキュリティが上がる仕組みを導入して欲しいですね。

今後のフリマアプリはメルカリの一人勝ちなのか?
メルカリの月間流通額って100億円以上あるのご存知ですか? ↓メルカリのサイトを見てみましょう。 フリマアプリ「メルカリ」は2013年7月リリース以来順調に成長し、日本でのダウンロード数は4,000万ダウンロードを突破、 1日の出品数は10...