「メルカリ」の個人情報漏えい、原因はCDNキャッシュの仕様、技術的な詳細情報を公表

　株式会社メルカリは22日、「メルカリ」のウェブ版サービスで、一部ユーザーの個人情報が他者に閲覧できる状態になっていた原因について、CDN（Content Delivery Network）プロバイダーの切り替えにおけるキャッシュ仕様の違いによるものであることを発表。技術的な原因の詳細をMercari Engineering公式ブログで公表している。

　メルカリでは22日9時41分に、同サービスのパフォーマンス改善のため、CDNプロバイダーの切り替えを行った。

　その後、14時41分、「マイページをクリックしたら他人のアカウントのページが表示された」とのユーザーからの問い合わせにより、この切り替えが原因で情報漏えいが発生したことを認識したという。

　これを受けて15時5分、元のCDNを使用する状態に戻し、同16分に同サービスをメンテナンスモードに切り替え、同38分にキャッシュサーバーへのアクセスを遮断。これにより問題は解消したという。CDNにキャッシュされた情報は、コントロールパネルから削除を行ったとのこと。

　切り替え前のCDNプロバイダーでは、キャッシュの制御を設定で行う仕様だったが、移行先のCDNプロバイダーでは、特定のヘッダーによりキャッシュ制御が可能な仕様だった。しかし、問題発覚後に移行先CDNプロバイダーのキャッシュ仕様を再度確認したところ、キャッシュをしないのはヘッダーに「Cache-Control: private」が含まれている場合のみだったことが分かったという。さらなる詳細が、Mercari Engineering公式ブログで公表されている。

　メルカリでは再発防止のため、外形監視を利用した、CDNによる意図しないキャッシュを早期に検知できる仕組みを導入するとしている。

　障害が発生している間に、他者に閲覧された可能性があったのは、459人の氏名・住所・メールアドレス・電話番号、1855人の銀行口座情報またはクレジットカードの下4けた、2万2458人の購入・出品履歴、5万3816人のポイント・売上金、お知らせ、やることリストの情報。

　対象ユーザーには、メルカリ内の個別メッセージで連絡を行ったという。なお、米国のメルカリウェブ版でも同じ問題が発生しているが、対象人数は公表されていない。