WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に：セキュリティクラスタ まとめのまとめ 2017年6月版（3/3 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

メルカリのCDN切り替えミスで、個人情報が流出する

　6月22日には最近大流行のフリマアプリ「メルカリ」で個人情報が流出した可能性があるとの報告があり、TLがざわつきました。6月22日の9時から15時の間、メルカリのWebサイトにアクセスした最大5万4180人の個人情報を他のユーザーに見られていた可能性があるということです。

　この個人情報の流出、誰かに攻撃を受けたわけではなく、CDN（Content Delivery Network）の切り替え作業での作業ミスが原因のようです。CDNのキャッシュサーバに個人情報が保存されるようになってしまったことが理由だとのことです。

　ユーザーAがアクセスしていたのと同じメルカリのURLにユーザーBがアクセスした際、CDNに保存されたユーザーAのキャッシュが送られてしまい、結果としてユーザーBにAの個人情報が筒抜けになってしまったということでした。

　CDNとはキャッシュサーバを使って、主に静的なコンテンツに大量のアクセスがあっても高速にユーザーに届けるための仕組みです。CDNによってキャッシュ制御の設定が異なり、新しいCDNでの設定を勘違いしていたことが、情報漏えいの原因だったようです。

　この事件については、情報流出を責めるツイートもありました。しかし、このレベルの障害でこの対応スピードは大変素早いという対応の速さを褒めるツイートや、失敗事例を公開する姿勢は素晴らしいというツイートなど、情報公開の速さと対応姿勢を評価したツイートが多数ありました。

　CDNとキャッシュの組み合わせは大規模なサービスを運営するエンジニアとして、人ごとではなかったようです。エンジニアとしては気持ちが分かる、自分たちもより注意しなければいけないという、自戒を促すようなツイートも多く見られました。

　その他、個人情報を含むページを配信するのにCDNを使うのは常識がないと嘲笑するようなツイートもあり、同じような論調の記事も掲載されていました。

　ただ現在は、細かな制御ができるCDNが増えていることもあって、現在は個人情報を扱うサイトでもCDNを使うようになっている。これを受けて、5年前なら常識がないという意見は正しいけれども今は違うという意見あり、CDNを使うことが一方的に悪と決めつけている意見は古い知識をアップデートできていないためではないかという意見あり、CDNはネットワークの最適化を行っているのでキャッシュしなくても有効なことがあるなど、現役エンジニアから多数の反論ツイートがありました。

---

　この他にも、6月のセキュリティクラスタは次のような話題で盛り上がっていました。7月はどのようなことが起きるのでしょうね。

• 警察が特殊詐欺の電話番号に「DDoS攻撃」
• 「シャドーブローカーズ」からクラウドファウンディングで脆弱性を買う？
• 「Jaff」ランサムウェアは復旧できる
• Windows 10のソースコードが一部流出

著者プロフィール

山本洋介山（NTTコミュニケーションズ株式会社）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。