Web版のメルカリにおける個人情報流出に関するお詫びとご報告 ※6/23追記あり

2017/6/23 15:40追記

この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げます。
調査の結果、新たに判明した事項につきまして、下記の通りご報告いたします。
なお、本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

1.情報が閲覧できる状態になっていた可能性のある最大人数

A) 直ちに個人を特定できる情報かどうかに関わらず、意図しない第三者にお客さま情報が閲覧できる状態になっていた可能性があるお客さま：54,180名

B) 上記のうち、直接的に個人を特定し得ると考えられる情報(住所・氏名・メールアドレス)が閲覧できる状態になっていた可能性があるお客さま：29,396名

2. お客さまの情報が実際に第三者に表示されるケース

項目1に該当するお客さまであっても、以下の2つのケースそれぞれで「全て」の条件を満たさない限り、第三者に情報が表示されることはありません。複数の偶発的な条件が重なって生じる事象であり、実際に閲覧に至る可能性は非常に低いものとなります。
しかしながら、発生した障害の特性上、正確な対象人数を特定するのは困難であり、最大人数を公表いたしております。

ケース1：
以下の条件を「全て」満たす場合。
・障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に閲覧したページが、キャッシュサーバーに保存された。
(この際、複数存在するキャッシュサーバーのひとつに保存されます)
・お客さまがアクセスした後、1時間以内に、お客さまがアクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同じサーバーに接続された。

ケース2：
以下の条件を「全て」満たす場合。
・お客さまが購入者側である取引において、取引中の相手が上記ケース1に該当した。
・対象の商品が匿名配送を利用していなかった。

3. 閲覧できる可能性のあったお客さま情報

・直接的に個人を特定し得る可能性がある情報
住所、氏名、メールアドレス（アドレス内に氏名情報が含まれていた場合）

・その他のお客さま情報（他の情報と組み合わせることで個人の特定は可能ですが、単体で直ちに悪用されるとは考えにくいもの）
銀行口座番号・クレジットカードの下4桁と有効期限　(※登録しているお客さまのみ）、購入・出品履歴、ポイント・売上金、お知らせ、やることリスト

なお、購入・出品、登録情報の変更、振込申請等、「閲覧」以外の操作を行うことは一切できない状況でした。またクレジットカード番号に関しては、下4桁のみが閲覧可能な状態であり、クレジットカード番号全てが閲覧できたものではございません。

4. 再発防止策

下記3項目を今月中に実施し、再発防止に努めます。
・外部から定期的にWeb版のメルカリにアクセスを行い、またCDNのアクセスログをリアルタイムに監視することで、意図しないキャッシュの早期発見と、関係するエンジニアへ通知を行うシステムの導入
・CDNサービスの配信設定を定期的にダウンロードし、キャッシュに関わる設定が正しく行われていることを自動で検証するプログラムの構築
・CDNサービスの提供元に協力をいただき、設定レビューの実施

改めまして、多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります。

技術的観点からの詳細につきまして、下記のページに掲載しております。
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして – Mercari Engineering Blog

———————————————————————————————

本日、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は対応も完了しております。
お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げるとともに、経緯について下記の通りお知らせいたします。
詳しい内容につきましては、再度ご報告いたします。
なお、iOS/Androidアプリ版のメルカリをご利用のお客さまにつきましては対象外となります。

1.経緯
2017年6月22日（木）、Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました。発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました。現在は対応を完了しており、通常通りご利用いただけます。

■時系列
9:41 キャッシュサーバーの切り替えを実施（問題発生）
14:41 カスタマーサポートにてお客さまからの問い合わせ（「マイページをクリックしたら他人のアカウントのページが表示された」旨）を確認し、社内へ報告
15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
15:16 Web版のメルカリをメンテナンスモードへ切り替え
15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
15:47 Web版のメルカリメンテナンスモードを終了

2. 対象サービス
Web版のメルカリ（日本/US）
※iOS/Androidアプリ版のメルカリをご利用のお客様につきましては対象外となります。

3. 個人情報を閲覧された可能性のあるお客さま
障害が発生していた時間帯に、メルカリWeb版にアクセスしたお客さま：54,180名

4. 閲覧された可能性のある個人情報
・名前・住所・メールアドレス・電話番号
・銀行口座、クレジットカードの下4桁と有効期限
（※以上、登録しているお客さまのみ）
・購入・出品履歴
・ポイント・売上金、お知らせ、やることリスト

5. 今後の対応について
個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします。