株式会社メルカリは5月21日、同社が利用する外部のコードカバレッジツール「Codecov」に第三者からの不正アクセスがあり、同社のソースコードの一部および一部顧客情報の外部流出が判明したと発表した。
これは4月15日に、同社が利用する外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者からの不正アクセスについて公表したことを受け、同社では4月16日より同社CI(継続的インテグレーション)環境にある認証情報の初期化(無効化・交換)に着手していたが、4月23日に同社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されているソースコードの一部も影響を受けている可能性がある旨の連絡があり、ログ調査を実施したところ、第三者が同社の認証情報を不正に取得・流用し、「GitHub」上に格納されたソースコードの一部への不正アクセスが判明したというもの。なお、1月31日以降に数回、その後4月13日から4月18日までの間に集中的な不正アクセスを確認している。
同社では不正アクセスに使われた認証情報は速やかに無効化を実施、4月23日に全社横断的な対策本部を設置し、同日中に関連当局等への報告を行った。また、さらなる追加被害に繋がる不正アクセスを防ぐため、不正アクセスされたソースコードに認証情報等が含まれていないか等の調査とソースコードに含まれる認証情報等の初期化作業を開始、調査の過程にて4月27日に、不正アクセスされたソースコード上に一部顧客情報があったことが発覚した。
同社で流出が確認された情報は以下の通り。
これは4月15日に、同社が利用する外部のコードカバレッジツール「Codecov」を運営するCodecov LLCが第三者からの不正アクセスについて公表したことを受け、同社では4月16日より同社CI(継続的インテグレーション)環境にある認証情報の初期化(無効化・交換)に着手していたが、4月23日に同社が利用するソースコード管理システム「GitHub」を提供するGitHub社より、「GitHub」上に格納されているソースコードの一部も影響を受けている可能性がある旨の連絡があり、ログ調査を実施したところ、第三者が同社の認証情報を不正に取得・流用し、「GitHub」上に格納されたソースコードの一部への不正アクセスが判明したというもの。なお、1月31日以降に数回、その後4月13日から4月18日までの間に集中的な不正アクセスを確認している。
同社では不正アクセスに使われた認証情報は速やかに無効化を実施、4月23日に全社横断的な対策本部を設置し、同日中に関連当局等への報告を行った。また、さらなる追加被害に繋がる不正アクセスを防ぐため、不正アクセスされたソースコードに認証情報等が含まれていないか等の調査とソースコードに含まれる認証情報等の初期化作業を開始、調査の過程にて4月27日に、不正アクセスされたソースコード上に一部顧客情報があったことが発覚した。
同社で流出が確認された情報は以下の通り。
