2021.5.22
プレスリリース

「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について

(2022年9月26日追記)

本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。
この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

 

株式会社メルカリは、当社が利用している外部のコードカバレッジツール「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流出したことを確認いたしましたので、お知らせいたします。
※テストのコード網羅率(プログラムのソースコードが自動テストされた割合)を計測するツール

本件に関して、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査については、5月21日までに完了しております。なお、現時点で本件の影響によるお客さまへの被害は確認されておりません。また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はありません。

本件により流出した情報の対象となる方々へは、本発表と同時に速やかに当社より個別のご案内を実施していくほか、本件に関するお問い合わせ専用窓口も設置しております。

今後は、外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と本件に関する調査を継続し、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。

本件につきまして、多大なるご迷惑とご心配をおかけすることを、心より深くお詫び申し上げます。

本件の概要と対応について、以下の通りご報告いたします。

1. 経緯

2021年4月15日、当社が利用している外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者による不正アクセスについて公表しました。

Codecov LLCの公表概要サマリー:

2021年1月31日より同社のBash Uploaderスクリプトが第三者によって定期的に不正に変更される事象が発生。不正アクセスにより「Codecov」を利用していた企業、ユーザーが使っていた認証情報、トークン、キー等、Bash Uploaderスクリプトが実行されたときにアクセス可能なものや、これらの認証情報、トークン、キーを使ってアクセスできるサービス、データストア、アプリケーションコード等が流出した可能性がある。
(詳細URL:https://about.codecov.io/security-update/

当該時点で、「Codecov」に接続するCI(継続的インテグレーション)環境にある認証情報の流出リスクがあったことから、当社では4月16日より当社CI環境にある認証情報の初期化(無効化・交換)に着手いたしました。

4月23日、当社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されていた当社のソースコードの一部も影響を受けている可能性がある旨の通知を受領し、速やかに詳細ログの提供を同社に依頼するとともに、当社側でも追加のログ調査を実施いたしました。その結果、第三者が当社の認証情報を不正に取得・流用し、「GitHub」上に格納されていたソースコードの一部に不正アクセスしていたことが判明いたしました(1月31日以降に数回、その後4月13日から4月18日までの間に集中的に不正アクセスがあったことを確認、また不正アクセスに使われた認証情報は速やかに無効化を実施)。

本結果を受け、当社では最優先の経営課題としてこれに対応すべく、4月23日同日に全社横断的な対策本部を設置したほか、同日中に関連当局等への報告を実施しました。また、さらなる追加被害に繋がる不正アクセスを防ぐため、1) 不正アクセスされたソースコードに認証情報等が含まれていないか等の調査、および 2) ソースコードに含まれる認証情報等の初期化作業を開始いたしました。

4月27日、調査の過程において不正アクセスされたソースコード上に一部顧客情報があったことが判明いたしました。一方で、当該時点において外部から当社への断続的な不正アクセスの試行を確認しており、直ちに当該事象を公表することで、さらなる攻撃を受け、追加被害に繋がる可能性があったため、当社では1) 追加被害に繋がる不正アクセスを防ぐための対策と影響範囲の特定を第一優先で実施、2) 該当の対策完了後速やかに、本件により流出した情報の対象となる方々へのご案内および外部公表をおこなうことを決定し、個人情報保護委員会等に報告いたしました。

その後、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査が完了したため本日お知らせいたしました。

2. 当社への影響

本件による影響範囲の一次調査は5月21日までに完了しておりますが、現時点で流出が確認された情報は以下になります。

「GitHub」上に格納されていた「メルカリ」(US版メルカリおよび過去提供サービスを含む)「メルペイ」のソースコードの一部

上記ソースコード内に含まれる、以下のデータ並びに一部取引先および当社子会社を含む従業員に関する情報

「メルカリ」の一部顧客情報を含むデータ

2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額):17,085件
2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、お問い合わせ内容) :217件
2013年5月に実施したイベントに関連した情報(氏名、年齢、性別、Eメールアドレス):6件
※現時点で「メルペイ」やUS版メルカリの顧客情報の流出は確認されておりません

「メルカリ」および「メルペイ」の一部取引先等に関する情報:

「メルペイ」加盟店情報(個人事業主名):7,925件

「メルカリ」および「メルペイ」の取引先等に関する情報(氏名、生年月日、所属、Eメールアドレス等):41件

当社子会社を含む一部従業員に関する情報(2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む):2,615件

なお、現時点で本件の影響によるお客さまへの被害は確認されておりません。また、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はありません。今後、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。

3. 原因

コードカバレッジツール「Codecov」に対する第三者からの不正アクセス

4. 現時点で実施している対応策

5月21日までに、追加被害に繋がる不正アクセスを防ぐための対策および影響範囲の一次調査として以下を完了しております。なお、本事象発覚後「Codecov」の利用は停止しております。

認証情報の調査と初期化(無効化・交換)作業の実施

不正にアクセスされた全認証情報の調査および初期化

被害状況の特定とセキュリティ強化

「GitHub」上の個人情報有無の一次調査

不正にアクセスされた認証情報を用いた不正アクセス有無の最終調査

※なお、当社では「GitHub」上に個人情報および認証情報を保存しないルールとしていますが、本件を受け、外部機関による協力のもと同様のケースの有無について調査を実施しております

本件により流出した情報の対象となる方々へのご案内と専用窓口の設置
本件により流出した情報の対象となる方々へは、本発表と同時に速やかに当社より個別のご案内を実施していくほか、本件に関するお問い合わせ専用窓口も設置しております。

個人情報保護委員会等への報告
4月23日の事象発覚以降、個人情報保護委員会等へ報告しており、被害の拡大防止に向けた情報連携・報告を随時おこなっております。

5. 今後の対応について

外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と本件に関する調査を継続し、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。

なお、この度の「Codecov」に対する第三者からの不正アクセスにより、当社に限らず国内外の多数の顧客企業・ベンダーが影響を受けている可能性があり、本件の影響を最小限にすべく、関係機関とも連携しながら率先して対応をおこなってまいります。

6. 本件により流出した情報の対象となる方々への対応および各種お問い合わせ先

本件により流出した情報の対象となる方々へは、以下に記載の対応の実施、ならびに専用のお問い合わせ先を設置しております。

本件の対象となる皆さまへ、多大なるご迷惑およびご心配をお掛けすることを心より深くお詫び申し上げます。

1) 顧客情報の対象となる方々

対応:
以下の情報に関して対象となるお客さまへは、当社より個別にご案内を実施し、経緯・状況のご説明を始めております。

2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報

2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報

2013年5月に実施したイベントに関連した情報

お問い合わせ:
本件の対象であることが確認されたお客さまには、専用のお問い合わせ窓口を設置いたしました。

以下のガイドをご参照のうえ、お問い合わせください。

■ 顧客情報の流出に関する事務局へのお問い合わせ

本件に関する、お問合せ窓口の提供を終了いたしました。

■ 顧客口座情報の流出対象確認ページ

本件に関する、セルフチェックページの提供を終了いたしました。

 

2) 「メルカリ」および「メルペイ」の取引先等に関する情報の対象となる方々

■対応:
対象となる方々へ、「メルカリ」および「メルペイ」各社より個別にご案内を実施し、経緯・状況のご説明を始めております。

■お問い合わせ:
対象となる方々へは、「メルカリ」および「メルペイ」各社より個別にご案内を実施しておりますが、本件に関するご不明な点などのお問い合わせは、以下の専用メールアドレスまでご連絡ください。

support-mercarigroup-partner@mercari.com (メルカリグループ パートナーサポート)

 

3) 当社従業員に関する情報の対象となる方々 ※過去の在籍者や一部外部委託先含む

対応:
対象となる方々へ、当社より個別にご連絡を実施し、経緯・状況のご説明を始めております。

お問い合わせ:
対象となる方々へは、当社より個別にご案内を実施しておりますが、本件に関するご不明点や、ご自身が対象である可能性があるなどのお問い合わせは、以下の専用メールアドレスまでご連絡ください。

mercarigroup-employeesupport@mercari.com (メルカリグループ 人事担当)

メルカリグループは、今回の事態を厳粛に受け止め、お客さまに安心・安全にサービスをご利用いただくために、今後もグループ横断でセキュリティ対策の継続的な強化に取り組んでまいります。

改めまして、本件につきまして、多大なるご迷惑とご心配をおかけすることを、心より深くお詫び申し上げます。

【参考情報】第三者による不正アクセスおよび当社の対応