お客さまの情報の取り扱いに関するお詫び
6月23日 個別メッセージ
2017年6月22日(木)、Web版のメルカリにおいて一部のお客さまの個人情報を含むデータが第三者から閲覧できる状態になっていたことが判明しました。
原因はすでに判明しており、現在は問題を解消しています。本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

調査の結果、お客さまにおかれましては、個人を特定し得ると考えられるいずれかの

情報(住所・氏名・メールアドレス)およびその他の情報(銀行口座番号、クレジットカードの下4桁と有効期限、購入・出品履歴、ポイント・売上金、お知らせ、やることリスト)が閲覧できる状態になっていた可能性があることがわかりました。

※購入・出品、登録情報の変更、振込申請等、「閲覧」以外の操作を行うことは一切できない状況でした。
また、クレジットカード番号に関しては、下4桁のみが閲覧可能な状態であり、クレジットカード番号全てが閲覧できたものではございません。

お客さまの大切な情報をお預かりしているにも関わらず、このような事態に至り、お客さまにご心配をおかけしましたことを、深くお詫び申し上げます。

なお、実際にお客さまの情報が第三者に表示されるケースは、複数の偶発的な条件が重なるなど、極めて稀な状況下でのみで確認されており、一般的な利用方法での発生は考えにくい事象です。

具体的には、以下の2つのケースいずれかにおいて、それぞれ「全て」の条件を満たした場合に限り、意図しない第三者に情報が表示された可能性が考えられますが、実際に閲覧に至った可能性は非常に低いものとなります。


ケース1:
以下の条件を「全て」満たす場合。

・障害発生時間帯(6/22 9:41-15:05)にログインした状態でWeb版のメルカリにアクセスし、その時に表示されたページの内容が、キャッシュサーバーに保存された。
(この際、複数存在するキャッシュサーバーのひとつに保存されます)
・お客さまがアクセスした後1時間以内に、お客さまがアクセスしたURLと完全に一致するURLに第三者がアクセスし、その際上記で保存されたサーバーと偶然同のサーバーに接続された。

ケース2:
以下の条件を「全て」満たす場合。

・お客さまが購入者側である取引において、取引中の相手が上記ケース1に該当した。
・対象の商品が匿名配送を利用していなかった。

なお、今後の対策として、下記3項目を今月中に実施し、再発防止に努めて参ります。

・外部から定期的にWeb版のメルカリにアクセスを行い、またCDNのアクセスログをリアルタイムに監視することで、意図しないキャッシュの早期発見と、関係するエンジニアへ通知を行うシステムの導入
・CDNサービスの配信設定を定期的にダウンロードし、キャッシュに関わる設定が正しく行われていることを自動で検証するプログラムの構築
・CDNサービスの提供元に協力をいただき、設定レビューの実施

本件についてのご不明点等は、アプリ内のお問い合わせフォーム、または以下の専用ご相談窓口へご連絡ください。

■お客さま情報の取り扱いに関する専用電話窓口
電話番号:0120-××-××××
営業時間:9:00 - 21:00(全日)

※本件以外に関する取引や利用方法などについてはお電話での回答ができませんので、アプリ内からお問い合わせをお願いいたします。

改めまして、多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります。


メルカリ事務局