「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出 | ScanNetSecurity
2024.03.19(火)

「Codecov」への不正アクセスで「メルカリ」のソースコードと一部顧客情報等が外部流出

株式会社メルカリは5月21日、同社が利用する外部のコードカバレッジツール「Codecov」に第三者からの不正アクセスがあり、同社のソースコードの一部および一部顧客情報の外部流出が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
 株式会社メルカリは5月21日、同社が利用する外部のコードカバレッジツール「Codecov」に第三者からの不正アクセスがあり、同社のソースコードの一部および一部顧客情報の外部流出が判明したと発表した。

 これは4月15日に、同社が利用する外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者からの不正アクセスについて公表したことを受け、同社では4月16日より同社CI(継続的インテグレーション)環境にある認証情報の初期化(無効化・交換)に着手していたが、4月23日に同社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されているソースコードの一部も影響を受けている可能性がある旨の連絡があり、ログ調査を実施したところ、第三者が同社の認証情報を不正に取得・流用し、「GitHub」上に格納されたソースコードの一部への不正アクセスが判明したというもの。なお、1月31日以降に数回、その後4月13日から4月18日までの間に集中的な不正アクセスを確認している。

 同社では不正アクセスに使われた認証情報は速やかに無効化を実施、4月23日に全社横断的な対策本部を設置し、同日中に関連当局等への報告を行った。また、さらなる追加被害に繋がる不正アクセスを防ぐため、不正アクセスされたソースコードに認証情報等が含まれていないか等の調査とソースコードに含まれる認証情報等の初期化作業を開始、調査の過程にて4月27日に、不正アクセスされたソースコード上に一部顧客情報があったことが発覚した。

 同社で流出が確認された情報は以下の通り。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×