事故>【メルカリ】側の言い分:「ニュース一覧」を転載。*長文*

 こんばん〇 !! 人体重-18Kです。日記を書いていたら自然と【メルカリ】事件・事故をダラダラと愚痴ってしまっておりましたので、いい機会ですのでこの思いを忘れない内に・分けて掲載しておくことにしました。あぁまた余計な時間が費やされちゃう。(^o^;)

 

 まずここでは【メルカリ】側が送ってきた「お知らせ」を時系列に掲載(転載)することと致します。難しい話ですので【IT】にお詳しくない方はスルーして下さっても結構です。けれど世の中、知らない間にこのような事態を招いてしまっていることは認識しておくべきだと私は考えます。ハイ。

 

「ニュース一覧」

  ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥

【重要】Web版のメルカリにおける個人情報流出に関するお詫びとご報告

個別メッセージ
本日、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明し、対象となる可能性のあるお客様へこのメッセージをお送りしております。

原因はすでに判明しており、現在は対応も完了しております。
お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げるとともに、経緯について下記の通りお知らせいたします。

1.経緯
2017年6月22日(木)、Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました。発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました。現在は対応を完了しており、通常通りご利用いただけます。

■時系列
9:41 キャッシュサーバーの切り替えを実施(問題発生)
14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
15:16 Web版のメルカリをメンテナンスモードへ切り替え
15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
15:47 Web版のメルカリメンテナンスモードを終了

2. 対象サービス
Web版のメルカリ(日本/US)

3. 個人情報を閲覧された可能性のあるお客さま
障害が発生していた時間帯に、メルカリWeb版にアクセスしたお客さま:54,180名

4. 閲覧された可能性のある個人情報
  ・名前・住所・メールアドレス・電話番号
  ・銀行口座、クレジットカードの下4桁と有効期限
  (※以上、登録しているお客さまのみ)
  ・購入・出品履歴
  ・ポイント・売上金、お知らせ、やることリスト

なお、購入・出品、登録情報の変更、振込申請等、閲覧以外の操作を行うことはできない状況でした。

本件につきましてご質問やご不明点はメルカリ内の「お問い合わせ > その他」よりご連絡くださいますようお願いいたします。

この度は多大なご迷惑をおかけしたことを重ねてお詫び申し上げます。

メルカリ事務局
 
  ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
【重要】お客さま情報が第三者から閲覧できる可能性があった件に関するお詫びとご報告
2017年6月22日(木)、Web版のメルカリにおいて一部のお客さまの個人情報を含むデータが第三者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は問題を解消しています。本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

お客さまの大切な情報をお預かりしているにも関わらず、このような事態に至り多くのお客さまにご心配をおかけしましたことを、深くお詫び申し上げます。

調査の結果、判明した状況をご報告いたします。

1. 経緯

2017年6月22日(木) 9:41頃、Web版のメルカリの利便性向上のため、キャッシュサーバー(CDN: コンテンツデリバリーネットワーク)の切り替えを行いました。キャッシュとは、主にWEBサイトの表示を高速・快適に行えるよう、お客さまがアクセスした際に表示された情報を一時的に保存しておく機能です。この設定内容の一部に弊社が把握できていなかった項目があり、一部のお客さまの一時保存されていた情報に対し、特定の条件に合致した意図しない第三者がアクセスしてしまう可能性があったことがお客さまからのお問い合わせで発覚しました。

発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました。現在は対応を完了しており、通常通りご利用いただけます。

■時系列
09:41 キャッシュサーバーの切り替えを実施(問題発生)
14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
15:16 Web版のメルカリをメンテナンスモードへ切り替え
15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
15:47 Web版のメルカリメンテナンスモードを終了


2. 対象サービス

Web版のメルカリ(日本/US)


3. 情報が閲覧できる状態になっていた可能性のある最大人数

A) 直ちに個人を特定できる情報かどうかに関わらず、意図しない第三者にお客さま情報が閲覧できる状態になっていた可能性があるお客さま:54,180名

B) 上記のうち、直接的に個人を特定し得ると考えられる情報(住所・氏名・メールアドレス)が閲覧できる状態になっていた可能性があるお客さま:29,396名


【06/23 18:12 追記】こちらのURLから本件の対象者であるか判定いただけます。B)に該当する方には追ってご連絡差し上げます。

https://www.mercari.com/jp/mypage/check_information/


4. お客さまの情報が実際に第三者に表示されるケース

項目3に該当するお客さまであっても、以下の2つのケースそれぞれで「全て」の条件を満たさない限り、第三者に情報が表示されることはありません。複数の偶発的な条件が重なって生じる事象であり、実際に閲覧に至る可能性は非常に低いものとなります。
しかしながら、発生した障害の特性上、正確な対象人数を特定するのは困難であり、最大人数を公表いたしております。

ケース1:
以下の条件を「全て」満たす場合。

・障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に閲覧したページが、キャッシュサーバーに保存された。
(この際、複数存在するキャッシュサーバーのひとつに保存されます)
・お客さまがアクセスした後、1時間以内に、お客さまがアクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同じサーバーに接続された。

ケース2:
以下の条件を「全て」満たす場合。

・お客さまが購入者側である取引において、取引中の相手が上記ケース1に該当した。
・対象の商品が匿名配送を利用していなかった。


5. 閲覧できる可能性のあったお客さま情報

・直接的に個人を特定し得る可能性がある情報
住所、氏名、メールアドレス(アドレス内に氏名情報が含まれていた場合)

・その他のお客さま情報(他の情報と組み合わせることで個人の特定は可能ですが、これのみで直ちに悪用されるとは考えにくいもの)
銀行口座番号、クレジットカードの下4桁と有効期限 (※登録しているお客さまのみ)
購入・出品履歴
ポイント・売上金、お知らせ、やることリスト


なお、購入・出品、登録情報の変更、振込申請等、「閲覧」以外の操作を行うことは一切できない状況でした。
また、クレジットカード番号に関しては、下4桁のみが閲覧可能な状態であり、クレジットカード番号全てが閲覧できたものではございません。

上記、項目3のB)に該当する可能性があったお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします。

この度は多大なご迷惑をおかけしたことを重ねてお詫び申し上げます。

メルカリ事務局
 
  ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
お客さまの情報の取り扱いに関するお詫び
個別メッセージ
2017年6月22日(木)、Web版のメルカリにおいて一部のお客さまの個人情報を含むデータが第三者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は問題を解消しています。本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

調査の結果、お客さまにおかれましては、個人を特定し得ると考えられるいずれかの情報(住所・氏名・メールアドレス)およびその他の情報(銀行口座番号、クレジットカードの下4桁と有効期限、購入・出品履歴、ポイント・売上金、お知らせ、やることリスト)が閲覧できる状態になっていた可能性があることがわかりました。

※購入・出品、登録情報の変更、振込申請等、「閲覧」以外の操作を行うことは一切できない状況でした。また、クレジットカード番号に関しては、下4桁のみが閲覧可能な状態であり、クレジットカード番号全てが閲覧できたものではございません。

お客さまの大切な情報をお預かりしているにも関わらず、このような事態に至り、お客さまにご心配をおかけしましたことを、深くお詫び申し上げます。

なお、実際にお客さまの情報が第三者に表示されるケースは、複数の偶発的な条件が重なるなど、極めて稀な状況下でのみで確認されており、一般的な利用方法での発生は考えにくい事象です。

具体的には、以下の2つのケースいずれかにおいて、それぞれ「全て」の条件を満たした場合に限り、意図しない第三者に情報が表示された可能性が考えられますが、実際に閲覧に至った可能性は非常に低いものとなります。


ケース1:
以下の条件を「全て」満たす場合。

・障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に表示されたページの内容が、キャッシュサーバーに保存された。
(この際、複数存在するキャッシュサーバーのひとつに保存されます)
・お客さまがアクセスした後1時間以内に、お客さまがアクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同のサーバーに接続された。

ケース2:
以下の条件を「全て」満たす場合。

・お客さまが購入者側である取引において、取引中の相手が上記ケース1に該当した。
・対象の商品が匿名配送を利用していなかった。

なお、今後の対策として、下記3項目を今月中に実施し、再発防止に努めて参ります。

・外部から定期的にWeb版のメルカリにアクセスを行い、またCDNのアクセスログをリアルタイムに監視することで、意図しないキャッシュの早期発見と、関係するエンジニアへ通知を行うシステムの導入
・CDNサービスの配信設定を定期的にダウンロードし、キャッシュに関わる設定が正しく行われていることを自動で検証するプログラムの構築
・CDNサービスの提供元に協力をいただき、設定レビューの実施

本件についてのご不明点等は、アプリ内のお問い合わせフォーム、または以下の専用ご相談窓口へご連絡ください。

■お客さま情報の取り扱いに関する専用電話窓口
電話番号:0120-137-086
営業時間:9:00 - 21:00(全日)

※本件以外に関する取引や利用方法などについてはお電話での回答ができませんので、アプリ内からお問い合わせをお願いいたします。

改めまして、多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります。


メルカリ事務局
 
  ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
re: [90200] その他
個別メッセージ
メルカリ事務局です。

このたびはお客さまにご心配をおかけし誠に申し訳ございません。

別途、個別メッセージでご連絡を行わせていただきましたが、下記の日時において、お客さまの個人情報を含む一部データが他者から閲覧できた可能性がございます。

発生日時
2017年6月22日 9時41分から2017年6月22日 15時5分

本件の原因はすでに判明しており、現在は対応も完了しておりますが、お客さまの大切な個人情報をお預かりしているにも関わらず、このような事象が発生いたしましたこと深くお詫び申し上げます。

なお、実際にお客さまの情報が第三者に表示されるケースは、複数の偶発的な条件が重なるなど、極めて稀な状況下でのみで確認されており、一般的な利用方法での発生は考えにくい事象です。

また、本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

今後、再発防止に努め、皆さまがより一層安心してご利用いただけるサービスを提供して参る所存です。

詳細な経緯や時系列等は、株式会社メルカリのホームページ内「お知らせ」にて記載しております。

■Web版のメルカリにおける個人情報流出に関するお詫びとご報告
https://www.mercari.com/jp/info/20170622_incident_report/

その他ご質問、不明な点がございます際はお手数ではございますが、以下の専用ご相談窓口へご連絡ください。

■お客さま情報の取り扱いに関する専用電話窓口
電話番号:0120-137-086
営業時間:9:00 - 21:00(全日)

営業時間外の場合は、アプリ内のお問い合せフォームへご連絡をお願いいたします。

このたびは多大なご迷惑をおかけましたことを重ねてお詫び申し上げます。

メルカリ事務局
> 人体重-18K : 馬持って来いッ!!さまよりお問い合わせです。
>
> 商品ID :
> 個人情報漏洩に該当してしまったわけだけど、お知らせ1通よこして後は個別に対応してくれって言うの?
>
>
 
  ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
 以上の4通&WEB上での「事の経緯」ということになります。どうやらこれで“お開き”したいようです。私はクレーマーではないと自負しておりますが、“甘い管理体制”のまま放置されていることには我慢なりません。責任者の所在(社名・責任者氏名の所在地)と、せめて【メルカリ】の親分の謝罪・償いは見せてもらわないと納得できないものがあります。お前「商売」舐めてるだろう。先行投資、先々へと事業展開を進めるだけでは “わらしべ長者” と一緒なんですよ。私から見れば千昌夫にも成り切れず、このままスポンサー共にも見捨てられて“お終い”って姿しか思い浮かびませんね。自分の実力不足をよく存じているからメディアには露出しない、そうした賢い・用心深い面は高く評価できそうですけど。(苦笑) 『老舗』と呼ばれる方々は「商売」の基本は「信頼」「安心」「守秘」だということを熟知しています。それが今回の1件で【メルカリ】には欠けていることが判明したわけです。
 度々起る問題に「問合せ」をするわけですが、ここ【メルカリ事務局】の応対メッセージーには「気遣い」というものが感じられませんでした。「若い社員が大勢いるから」といった揶揄はすべきではないと思いますが、大切な相手であるお客様の立場に立った回答ができていません。ここの親分さんは大切な『システム管理』ならびに『社員教育』という面で不十分であると私は断言します。現在「無職」の私のような分際に言われたくはないでしょうけれども、周りはシッカリと今後の動向を見つめています。今後どのように改善されるのか楽しみです。TVCMに起用した有吉のような態度じゃ困りますけどね。(苦笑)