日本のメルカリ、Codecovサプライチェーン攻撃で大規模な情報流出:海外でも話題に

mercari

電子商取引プラットフォームのメルカリは、Codecovサプライチェーン攻撃から発生した大規模なデータ漏洩事件があったことを発表しました。

メルカリは日本の上場企業であり、最近ではアメリカやイギリスにも事業を拡大しているオンライン・マーケットプレイスです。

メルカリのアプリは2017年時点で全世界で1億以上のダウンロードを記録しており、日本で初めてユニコーンの地位を獲得しています。

人気のコードカバレッジツール「Codecov」は、2カ月間続いたサプライチェーン攻撃の被害に遭っており、この2ヶ月の間にCodecov社の正規のBash Uploaderツールが改ざんされ、Codecov社の顧客のCI/CD環境から環境変数(キー、トークン、認証情報などの機密情報を含む)を流出させていました。

Codecov社を攻撃した攻撃者は、改ざんしたBash Uploaderから取得した認証情報を利用して数百もの顧客のネットワークに侵入したと報告されています。

UberやAdobeが使用するMonday.com、Codecov社のサプライチェーン攻撃によってソースコードが流出

大規模なデータ流出で数千人の顧客の財務記録が流出

メルカリは、Codecovからのサプライチェーン攻撃の侵入により、財務情報を含む数万件の顧客記録が外部に流出したことを確認しました。

メルカリから流出したデータ一覧

本日5月21日に調査を終了したメルカリは、漏洩した記録は以下の通りであるとしています。

  • 2014年8月5日から2014年1月20日の間に発生した顧客口座への売上金の振り込みに関する1万7085件の記録。
    • 流出したデータは、銀行コード、支店コード、口座番号、口座名義人(カナ)、振込金額
  • 「メルカリ」「メルペイ」の取引先に関する7,966件の記録で、氏名、生年月日、所属、メールアドレスなど
  • メルカリの子会社に勤務する者を含む一部の従業員に関する2,615件の記録
    • 2021年4月現在の一部社員の氏名、会社のメールアドレス、社員ID、電話番号、生年月日など
    • メルカリと交流のあった過去の従業員、一部の契約社員、外部企業の従業員の詳細
  • 2015年11月から2018年1月までに登録されたカスタマーサービスサポート217件
    • 対象データは、ユーザの氏名、住所、メールアドレス、電話番号、問い合わせ内容など
  • 2013年5月に発生した記録6件


メルカリは、この攻撃と、このデータがどのように第三者に流出したかを、以下の図で示しています。

メルカリは、4月中旬にCodecovが最初の情報を公開した直後に、Codecovの侵害による影響を確認しました。

4月23日には、GitHubからメルカリのリポジトリに事件に関連する不審な動きがあるとの通知

同日、メルカリはGitHubに詳細なアクセスログの提出を求め、調査を開始しました。

その結果、4月13日から4月18日の間に悪意のある第三者が認証情報を取得・悪用し、メルカリのプライベートリポジトリ(ソースコードを含む)にアクセスし、さらにシステムへの不正アクセスを行ったことが判明しました。

この攻撃を発見したメルカリは、侵害された認証情報と機密情報を直ちに無効化し、侵害の影響の全容について調査を続けました。

4月27日、メルカリは、同社の顧客情報およびソースコードの一部が、外部の不正な第三者によって不正にアクセスされたことを発見しました。

同社によれば、調査活動の継続とセキュリティ上の弱点が完全に特定され改善されるまではさらなる攻撃や被害を受ける危険性があったため、情報漏えいの公表を本日まで延期していたとのことです。

メルカリはCodecovを使用しているGitHubリポジトリの削除を開始しています。

複数のメルカリのリポジトリで漏洩したCodecov Bash Uploaderが使用されていたとのことです。

メルカリは、情報が漏洩した方々に個別に連絡を取るとともに、日本の個人情報保護委員会をはじめとする関係機関にも今回の情報漏洩を通知しています。

「今回の発表と同時に、本件による情報流出の対象となった方には速やかに個別情報を提供するとともに、本件に関するお問い合わせの専用窓口を設置しました。今後、さらなるセキュリティ強化策を実施するとともに外部のセキュリティ専門家の知見を活用しながら本件を調査、発表すべき新たな情報があれば速やかに報告いたします。今回の件でご迷惑とご心配をおかけしたことを心よりお詫び申し上げます」

https://about.mercari.com/press/news/articles/20210521_incident_report/

Codecov社のサプライチェーン攻撃が自社のプライベートリポジトリに与えた影響について、最近複数の企業が被害を報告していました。

その中には、ソフトウェアメーカーのHashiCorp社、クラウドコミュニケーションプラットフォームのTwilio社、クラウドサービスプロバイダーのConfluent社、保険会社のCoalition社、米国のサイバーセキュリティ企業のRapid7社、ワークフロー管理プラットフォームのMonday.com社などが含まれています。

Twilio社、改ざんされたCodecov社のBash Uploaderツールにより情報漏えいの被害に:サプライチェーン攻撃

また先月、Codecov社は影響を受けた顧客への追加通知を開始し、今回のサプライチェーン攻撃に関連する攻撃者のIPアドレスであるIndicators of Compromise(IOC)の詳細なリストを公開しています。

Codecov社のユーザーは、自社のCI/CD環境やネットワークに危険な兆候がないかを確認し、安全策として、漏洩した可能性のあるすべての機密情報を消去する必要があります。

Leave a Reply

Your email address will not be published.