合計2万7889件の情報が流出

同社によると、4月15日にCodecovが不正アクセス被害を公表。23日に「メルカリ」が利用するソースコード管理システム「GitHub」の運営会社から、同社のソースコードの一部も影響を受けているとの通知を受けた。同社でもログ調査をした結果、27日になって、第三者が同社の認証情報を不正に取得、流用し、GitHub上に格納されていたソースコードの一部にアクセスしていたことが分かった。

流出した情報は、「メルカリ」での売上金の振り込みに関連した口座情報（2013年8月5日～14年1月20日に実行。銀行コード、支店コード、口座番号、名義人、振込金額）が1万7085件、スマホ決済サービス「メルペイの加盟店情報（個人事業主名）の7925件。

流出した認証情報を初期化、「Codecov」を利用停止に

さらに、「メルカリ」「メルペイ」の取引先情報が41件、カスタマーサービス対応に関連した情報217件（15年11月～18年1月）、13年5月に実施したイベントの関連情報6件、21年4月現在の子会社を含む従業員情報2615件。合わせて2万7889件に上っている。

同社はすでに、流出した認証情報を初期化し、「Codecov」の利用を停止。一次調査と追加被害につながる不正アクセスを防ぐための対策は完了したとして、発表に及んだ。顧客情報の流出を確認したのは4月27日だが、この時点ではまだ断続的な不正アクセスの試行があり、追加被害の防止対策と影響範囲の特定を第一優先で実施したという。

今後は外部の専門家とともに、さらなるセキュリティ強化策を実施するほか、被害状況特定のための調査を継続する。流出した情報の対象者へは個別に連絡しているほか、ユーザーが対象になっているかなどを調べられるサイトを設置するなどして対応している。


■『顧客情報の流出に関する問い合わせ』
https://www.mercari.com/jp/help_center/article/1159/
■『顧客口座情報の流出対象確認』
https://www.mercari.com/jp/mypage/check_information/202105/