メルカリは5月21日、同社が利用している外部ツールへの不正アクセスにより、一部の顧客情報や従業員、取引先などに関する情報が外部流出したと発表した。流出件数は全体で約28,000件。現時点で利用者への被害は確認されておらず、サービス運営への影響はないという。

  • メルカリによる発表文(一部)

第三者による不正アクセスは、メルカリが利用している、Codecov LLC運営のコードカバレッジツール「Codecov」に対して行われた。コードカバレッジツールは、プログラムのソースコードが自動テストされた割合を計測するツール。これによりメルカリの認証情報が不正流出し、GitHubに格納されていた、顧客情報を含むソースコードの一部に不正アクセスが発生した。

現時点で流出が確認された情報は以下の通り。

  • 「GitHub」上に格納されていた「メルカリ」(US版メルカリおよび過去提供サービスを含む)「メルペイ」のソースコードの一部

  • 上記ソースコード内に含まれる、以下のデータ並びに一部取引先および子会社を含む従業員に関する情報

  • 「メルカリ」の一部顧客情報を含むデータ:

2013年8月5日~2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報(銀行コード、支店コード、口座番号、口座名義人、振込金額):17,085件

2015年11月~2018年1月の間におけるカスタマーサービス対応に関連した情報(氏名、住所、Eメールアドレス、電話番号、問い合わせ内容) :217件

2013年5月に実施したイベントに関連した情報(氏名、年齢、性別、Eメールアドレス):6件

  • 「メルカリ」および「メルペイ」の一部取引先等に関する情報:

「メルペイ」加盟店情報(個人事業主名):7,925件

「メルカリ」および「メルペイ」の取引先等に関する情報(氏名、生年月日、所属、Eメールアドレス等):41件

子会社を含む一部従業員に関する情報(2021年4月時点の一部従業員の氏名、会社Eメールアドレス、従業員ID、電話番号、生年月日等 ※過去の在籍者や一部外部委託先含む):2,615件

メルカリでは、流出した情報の対象者へ個別に案内し、問い合わせを受け付ける専用窓口を設置する。ユーザー自身で口座情報の流出対象か否かを確認できるページも用意した。

また、認証情報の調査と初期化(無効化・交換)作業を実施。セキュリティ強化策の実施と調査も継続し、今後知らせるべき内容が判明した場合は速やかに報告するとした。