• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース解説

メルカリの個人情報流出、陥った「no-cache」の罠

大森 敏行=日経NETWORK 2017/06/26 日経NETWORK

 フリーマーケットサービスのメルカリで個人情報が流出する事故が起こった。iOS/Androidアプリ版ではなくWebアプリ版で起こった。あるユーザーが自分の情報を表示しようとすると、他のユーザーの情報が表示されてしまうというものだ。

メルカリのお知らせページ
[画像のクリックで拡大表示]

 第三者の情報を閲覧できる状態になっていた可能性があるユーザーは5万4180人。このうち、住所・氏名・メールアドレスが見える状態になっていたユーザーは2万9396人だという。

 第三者の情報を閲覧できる状態になっていた可能性があるユーザーでも、特定の条件を満たさなければ、実際には住所・氏名・メールアドレスが見える状態にはならなかったという。メルカリは、そうした条件には二つのケースがあるとしている。

 第1のケースは、障害が発生した2017年6月22日の9時41分から15時5分の間にWeb版メルカリにログインしてアクセスし、そのときに閲覧したページがキャッシュサーバーに保存された場合。そのユーザーがアクセスしてから1時間以内に、アクセスしたURLと完全に一致するURLに他のユーザーがアクセスし、その際にキャッシュが保存されたサーバーと同じサーバーに偶然接続されたときにだけ、他のユーザーの情報が見えてしまっていた。

 第2のケースは、ユーザーが購入者側になっている取り引きで、取引先の相手が第1のケースに該当した場合。対象の商品で匿名配送を利用していないと、他のユーザーに個人情報を見られる可能性があった。

 なお、他人の個人情報が見えた場合でも、購入・出品、登録情報の変更、振込申請といった「閲覧以外の操作」は一切できない状況だったという。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る