「メルカリで5万4千人分の個人情報流出」というニュースが、6月22日に各メディアより報じられた。
内容としては、Web版のメルカリにおいて一時的に”一部のお客さま”の個人情報が第三者から閲覧できる状態になっていたというものだ。
- 個人情報が閲覧された可能性のあるユーザー
- メルカリボックスに書き込まれる”疑問の声”
- メルカリの対応に対する”疑問の声”
- 流出した個人情報の詳細
- 個人情報流出で問われる企業としての姿勢
- 追記:メルカリ事務局がアプリ内「ニュース一覧」からお詫びとご報告
個人情報が閲覧された可能性のあるユーザー
上記の”一部のお客さま”というのは、問題が発生した6月22日9:41から問題が解消された15:38までの間にWeb版メルカリにアクセスしたユーザー54,180名を指す。
公式サイトにおける報告では、iOS/Androidアプリでメルカリを利用していたユーザーは対象外という旨が記載されている。
参考:Web版のメルカリにおける個人情報流出に関するお詫びとご報告
しかし、6月21日のアップデートで新設された「メルカリボックス」には、Web版メルカリは利用していないのにメルカリ事務局から情報漏えいの個別メッセージが届いたという書き込みが相次いでいる。
メルカリボックスに書き込まれる”疑問の声”
このメルカリボックスとは、メルカリのユーザー同士がアプリについてのQ&Aを書き込める掲示板のようなもので、そこには個人情報流出についての質問が80件以上寄せられている。
ここに書かれたユーザーからの疑問点は複数あるが、前述のWeb版メルカリを利用していないのに情報漏えいの個別メッセージが届いたことに対するものが多い。
そしてこの件については、実はメルカリボックスが原因ではないかと見ている人もいるようだ。というのも、メルカリボックスはアプリ内の「ガイド」から「解決策を検索または質問する」というところから開くのだが、この時にアプリのUIがWebViewを使ってメルカリボックスを開いているように見える。
WebViewとはアプリ内ブラウザのことで、この機能によってアプリ内でWebページが表示することができるものだ。
メルカリボックスはWeb版メルカリからでも利用することができるのだが、そのURLはhttps://www.mercari.com/jp/box/で、Web版メルカリ内に存在することが分かる。
アプリからメルカリボックスを開いた時もこのURLを開いているとすれば、ユーザーは自覚することなくWeb版メルカリを利用していることになる。
仮説ではあるが、もしその通りだとすれば、個人情報流出の前日に新設したサービスによって漏えい数が拡大したことになるが真相はまだ分からない。
メルカリの対応に対する”疑問の声”
今回の個人情報流出について、公式サイトでのお詫びや該当者への個別メッセージによるお詫びはされているようだが、アプリ内でのニュース等による報告はまだされていない。
ネットニュースで初めて知って不安を抱いているユーザーも多いようで、アプリ利用者全体への報告がアプリ内でされなかった姿勢に疑問を持つ声も寄せられている。
その他、個別メッセージが届いたがどうしていいか分からないといった不安の声も多い。
今回流出した個人情報には、名前・住所・メールアドレス・電話番号・銀行口座・クレジットカードの下4桁と有効期限などが含まれているが、個人情報流出という言葉へのショックからか、クレジットカードの”下4桁”という部分を読み飛ばしてしまっている人もいるようだ。
流出した個人情報の詳細
この件はメルカリ公式サイトだけではなく、メルカリのエンジニアによるブログでも報告とお詫びがされた。
そこには個人情報の影響範囲と閲覧された可能性のあるアクセス数が記載されている。
影響範囲 アクセス数 名前・住所・メールアドレス・電話番号
(※登録しているお客さまのみ)459名 銀行口座情報、クレジットカードの下4桁と有効期限
(※登録しているお客さまのみ)1855名 購入・出品履歴 22458名 ポイント・売上金、お知らせ、やることリスト 53816名 ※ ポイント・売上金は全ページに表示されているため、影響あったお客様と同数になっています。
参照:CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blogより引用
公式サイトの発表数である54,180名と若干数が違うのが気になるが、この表の通りならば、銀行口座情報とクレジットカードの下4桁と有効期限は1,855名分が閲覧された可能性があるということだ。
また、ブログには再発防止についてや、技術面でどのような問題が起きて、どのように解消するに至ったのかが詳しく記載されている。
個人情報流出で問われる企業としての姿勢
今回の個人情報流出に対してのメルカリの初動は、公式サイトに報告および謝罪文を掲載し、次に該当ユーザーへの報告および謝罪の個別メッセージを送るというものだった。
これをどう捉えるかは人によって様々だが、以前からメルカリ独自の配送サービスであるらくらくメルカリ便では、匿名配送で取引できる”あんしん・あんぜん”を売りにしていただけに、ショックを受けているユーザーは少なくないだろう。
奇しくもメルカリは、6月19日に匿名配送が利用できる第2のメルカリ便「ゆうゆうメルカリ便」をスタートさせたばかりで、安全性という強みをさらに強化した矢先の出来事となってしまった。
フリマアプリ業界を独走する企業として、株式会社メルカリのユーザーに対する姿勢が問われる難しい事案ではあるが、従来通りユーザーが”あんしん”できる対応と対策を期待したい。
追記:メルカリ事務局がアプリ内「ニュース一覧」からお詫びとご報告
障害の発生した翌日である6月23日15時頃、メルカリ事務局からアプリ内でユーザー全体へお詫びとご報告が通知された。
新たな情報として、住所・氏名・メールアドレスが閲覧できる状態になっていた可能性があるユーザー数は29,396名だったと記載され、第三者からの不正アクセス等により発生したものではないという障害の特性上、悪質な漏えい、データ改ざんは確認されていないとのことだ。
また、情報が閲覧できる可能性があったユーザーの最大数は54,180名とした上で、第三者と複数の偶発的な条件が重ならないと閲覧されることはない状況だったと説明されている。
銀行口座情報とクレジットカードの下4桁と有効期限についても、直ちに悪用されるとは考えにくいと説明されており、障害時に第三者のユーザー情報が閲覧可能な状態であっても、購入・出品、登録情報の変更、振込申請等の「閲覧」以外の操作は一切できない状態だったことも記載された。
また、この「【重要】お客さま情報が第三者から閲覧できる可能性があった件に関するお詫びとご報告」の内容は何度か更新されており、同日の18時頃には自分が情報漏えいに該当するユーザーかどうかが調べられるURLも追記された。
▼対象者かどうかの判定ができるURL(Web版メルカリ)
https://www.mercari.com/jp/mypage/check_information/
今回の情報漏えいは社内の人的ミスから起こったもので、それが例え稀有なケースだったとしても、一定数のユーザーから信用を失うことに変わりはない。しかし、ユーザー全体への説明としては誠意ある企業姿勢だったと思うが、あなたはどうお感じになっただろうか。
メルカリ最新情報一覧