MENU

なぜ?メルカリ、5万人分の個人情報流出の理由を3分でわかりやすく

5万4180人分の個人情報が流出したですって…大丈夫なんでしょうか…

メルカリは6月22日、ウェブ版のメルカリにおいて、一部ユーザーの個人情報が第三者から閲覧できる状態になっていたと発表した。

流出した内容は

  • 名前
  • 住所
  • メールアドレス
  • 電話番号
  • 銀行口座
  • クレジットカードの下4桁と有効期限
  • 購入・出品履歴
  • ポイント
  • 売上金
  • お知らせ
  • やることリスト

だそうなんですが、これ詐欺に利用されたらおしまいのやつじゃないですか…

メルカリの説明では、すぐにシステム上の問題点は解決したそうですが、ユーザとしてはなんか気持ちが悪いですねぇ。

今後の対応については、個人情報を閲覧された可能性のあるユーザーに対し、メルカリ事務局より個別メッセージで連絡するそうなので、利用者の方は必ずチェックしてくださいね。

ちなみに、この件に乗っかって、「個人情報流失に関して」とかタイトルつけて金銭を要求する輩もいそうなので、その点も気をつけたいところです。

ところで、今回の個人情報流失問題ですが、なぜこんなことが起きてしまったのでしょうか。

メルカリの運営の説明をもとに、かんたんに解説してみたいと思います。

システム上の問題だった

メルカリは、本件に関して当日中に問題を解決、その内容を発表しています。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして

メルカリが発表した内容によると、ようするにシステム上の問題だったようです。

社員が故意的に情報を漏らしたとか、そのような人為的なものではないということですね。

報告内容を噛み砕いてみる

メルカリは、問題の内容を以下のように説明しています。

メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。

その際本来キャッシュされるべきでない情報がCDN側にキャッシュされてしまい、該当時間帯にアクセスしたお客さまに、他のお客さまの情報が表示されておりました。

ここで、「キャッシュ」と「CDN」という聞きなれないことばがでてきます。

一応、「よくわからん!」という方にかんたんに説明しますね。

キャッシュとはなんぞ?

キャッシュとは、あるホームページを見たときに残る履歴のようなもの。

もし、他の誰かが同じページを見ようとしたとき、わざわざ元のデータを見に行かなくても、誰かが見た履歴を参照すれば、表示が速くなるのはなんとなくイメージできるかと思います。

メルカリで言えば、商品情報をいちいち大元のサーバーに見に行かなくても、すぐに情報が表示されます。

ざっくりといえば、そんな感じです。

ちなみに「サーバー」がわからない方は、インターネット上でやりとりされているデータを保管する箱だと思ってください。

今お使いのPCもある意味、サーバーにすることができます。

CDNとはなんぞ?

こいつは、ちょっと難しい。

調べるとこんな感じででてきます。

CDNとは、Content Delivery Network(コンテンツ・デリバリ・ネットワーク)の略で、世界中に張り巡らされたサーバ(CDN配信プラットフォーム)を通して、コンテンツにアクセスしようとするエンドユーザに最も近いサーバから効率的に配信する仕組みのことです。

なんかよくわからんかと思いますが、まず、さきほどの「キャッシュ」をインターネット上に散らばるサーバーのどっかに保管しておきます。

そして、誰かがアクセスしてきたら、「一番近いサーバー」からキャッシュ情報を取り出してくるのです。

ということは、やはり、情報を表示するスピードが高速化できるというわけです。

とにもかくにもこの、「キャッシュ」、「CDN」という仕組みを用いることによって、メルカリユーザーはストレスなくサクサクと検索や取引きを行えるというわけですね。

そして、今回の問題は「この仕組みの設定がなんかミスってた、やべぇ!」ということのようです。

さすがに、銀行口座が流出した人とかは、賠償問題とかにもなるのかなぁ…。

プロの目線から見た今回の問題

こちらの記事では、システムのプロから見た今回の問題について語られています。

「すぐに技術的な詳細報告を出すあたりは感心しますが、個人的にはそもそも設計が悪かったんだと思います。いくつか可能性があるので、報告資料の情報だけでは断定できませんが、”CDNの設定ミスでキャッシュが有効になった”という話と、”他のユーザの情報が見られてしまう”という話は、本来別物じゃないかと感じました。」

ようするに、メルカリの報告内容は完全ではなく、もっと他にシステム上の設計不備があるのでは?とプロは語っています。

設計を改めて見直す必要があるとも指摘しているようで、この問題はまだまだ尾を引きそうな予感。

「メルカリに限らず、急に大きくなったサービスは、古い設計(負の遺産)がいっぱいあるものです。猛烈な規模でスケールしていくサービスの状況に対して、エンジニアは”できない”とは決して言えない。結果として”トリッキーなテクニック”や”潜在的にリスクのある仕組み”を使ってしまうというのは、我々からすれば、あり得なくはない話なんです」

また、こういったインターネットサービスは、サービスの拡大とシステムの設計スピードが追いつかず、不備が出る可能性も示唆しています。

つまり、我々が日々利用しているあらゆるネットサービスには、今回のような危険が潜んでいるということでしょう。

我々ユーザは、そのような問題を防ぐことはできませんが、リスクを理解した上で利用したいところですね。

以上TOPICがお伝えしました。