E-commerce giant suffers major data breach in Codecov incident
2021/05/21 BleepingComputer — 電子商取引プラットフォームの Mercari は、Codecov サプライ・チェーン攻撃により露呈した、大規模なデータ漏えいインシデントについて公表した。日本の上場企業である Mercari は、近年ではアメリカやイギリスでも事業を拡大しているオンライン・マーケット・プレイスだ。
Mercari アプリは、2017年時点で全世界で1億ダウンロードを記録しており、日本初のユニコーン企業だともされている。すでに BleepingComputer も報じているように、人気のコードカバレッジ・ツールである Codecov は、この2カ月間に生じているサプライチェーン攻撃の被害に遭っている。Codecov の正規の Bash Uploader Tool を改変することで、Codecov の顧客の CI/CD (Continuous integration and continuous delivery) 環境から、キー/トークン/認証情報などの環境変数が流出した。Codecov を標的にした攻撃者は、改ざんされた Bash Uploader から取得した認証情報を利用して、数百もの顧客ネットワークに侵入したと言われている。
この記事によると、Mercari は、情報が流出したユーザーに連絡を取るとともに、日本の個人情報保護委員会をはじめとする関係当局に、今回の情報流出について通知したようです。そして同社はプレスリリースで、「今回の発表と同時に、本件による情報流出の対象となった方への個別情報の提供を速やかに行うとともに、本件に関する問い合わせの専用窓口を設置しました。今後、さらなるセキュリティ強化策を実施するとともに、外部のセキュリティ専門家の知見を活用しながら本件を調査し、発表すべき新情報があれば速やかに報告します」と述べています。
IoT OT Security News 