【情報漏洩】フリマ「メルカリ」、婚活「Omiai」
2021.05.24

株式会社メルカリは21日、第三者からの不正アクセスにより、顧客の口座情報など27,889件の個人情報が流出したと発表しました。

                — 株式会社メルカリ プレスリリースより —


流出情報の詳細は下記の通りですが、氏名や住所の他、口座情報やメールアドレス等が漏洩しているため、詐欺のメールやSMSをはじめとした特殊詐欺に注意する必要があります。

〔漏洩した個人情報〕
・「メルカリ」で売上金の顧客口座への振込みに関連した情報(17,085件)
 ※2013年8月5日〜2014年1月20日 金融機関名、口座番号、名義、振込金額等

・カスタマーサービス対応に関連した情報(217件)
 ※2015年11月〜2018年1月 氏名、住所、メールアドレス、電話番号、問合せ内容

・2013年5月に実施したイベントに関連した情報(6件)

・「メルカリ」および「メルペイ」の一部取引先等に関する情報(7,966件)
 ※氏名、生年月日、所属、メールアドレス等

・子会社を含む一部従業員に関する情報(2,615件)
 ※氏名、メールアドレス、従業員ID、電話番号、生年月日等


メルカリが情報漏洩を把握したのは4月23日で、ソースコード管理サービス「GitHub」上に格納されたメルカリ社のソースコードへの不正アクセスがGitHubからの通知で判明したもので、上記個人情報の他にソースコードの一部も漏洩しました。



【パスワードリスト攻撃に注意】
メルカリの漏洩ではクレジットカード情報やログインパスワードなど、なりすまし被害に即結びつく情報は含まれていないようですが、メールアドレスや生年月日がセットで漏洩しているケースもあるため、こうした場合はパスワードリスト攻撃につながる恐れがあります。

パスワードリスト攻撃とは、漏洩したIDとパスワードの組み合わせを用いて他のWebサイトへの不正ログインを試み、セキュリティを突破するもので、攻撃者(アタッカー)は不正取得したログイン情報を使って本人になりすましてショッピングや各種サービスを勝手に利用してしまいます。

インターネット上のショッピングサイトや各種サービスサイトでは、ログイン時にメールアドレスとパスワードの組み合わせを用いる場合が多く、パスワードに生年月日を元にした数字を使用している場合は、パスワードクラッキングソフトウェアを用いたデータ解析で、パスワードが割り出される確率が高くなります。

パソコンやスマホのロック解除用コード(PINコード)に誕生日を使っている方など、さまざまなパスワードに誕生日を設定している場合は不正ログインによるなりすまし被害のリスクが大きいといえます。

【相次ぐ情報漏洩】
恋愛や婚活を支援するマッチングアプリ「Omiai」を運営する株式会社ネットマーケティングは5月21日に171万1756件の個人情報漏洩を、24日には問合せフォームに記載された個人情報が第三者に閲覧可能な状態であったと、相次いで発表しました。

           — 株式会社ネットマーケティング Webサイトより —


漏洩した個人情報は、2018年1月31日~2021年4月20日の間に提出された年齢確認審査書類の画像データで、約6割が運転免許証の画像データとのことで、他に健康保険証やパスポート、
マイナンバーカードの画像も含まれており、一部の会員については通信ログの解析により、年齢確認書類画像が詐取された事が判明しています。

ネットマーケティング社は漏洩したデータを年齢確認書類と表記しています。
しかし、これらの書類は「本人確認書類」であり、本人確認書類のデータを使えば第三者が本人になりすましてWebキャッシングをはじめ、各種サービスへの登録や利用が可能となります。
※プロミスの場合、50万円まで本人確認書類のみでキャッシング可能

漏洩データにはすでに退会した方も含まれているため、現在「Omiai」を利用している方はもちろん、過去に一度でも利用経験のある方は、自身の本人確認データが悪用され、身に覚えのない請求書や利用明細書、契約書などが届く可能性があるため注意が必要です。


【個人情報は洩れるもの】
インターネット上ではショッピングやさまざまなサービスが手軽に利用できるようになった反面、個人情報の入力は避けられず、ひとたびショッピング・サービス運営会社のサーバからデータが漏洩してしまうと、個人がいくら注意していても個人情報は第三者の手に渡ってしまいます。

5月20日には日本郵便が外部への流出は確認されていないとしながらも、顧客6万7千人以上が取引した国債や投資信託の情報を紛失して問題になっています。

今月だけでも、兵庫県神戸市が管理する神戸市水道Web閲覧システムの利用登録者95名分の氏名、メールアドレス、ID及びパスワードなどの情報が第三者に閲覧された他、三井住友信託銀行のクラウド型カードローン申込システムが不正アクセスを受け、100名以上のメールアドレス等が第三者に閲覧された可能性など、不正アクセス事例は枚挙に暇がありません。

ネットショッピングだけでなく、スマートフォンでさまざまなアプリを活用されている方など、多くの場面で個人情報を入力する必要性に迫られ、知らず知らずのうちに大事な個人情報がインターネットを介して世界中に蓄積されているのが現実です。

通常、データ通信は暗号化され、サーバ内のデータも強固なセキュリティシステムに守られているはずですが、連日、何かしらの情報漏洩やインシデントが発生しており、私たちの氏名や住所、電話番号、メールアドレスといった基本情報は、すでに第三者に漏れていると言ってもけして大げさな話ではありません。

第三者によるなりすましを防ぐには、IDとパスワードの使い回しは避け、パスワードの複雑化や定期的な変更、また銀行取引などでは二段階認証を積極的に利用するなど、自衛の策に努める必要があります。

新着情報一覧

▲ページのトップへ