経緯
皆さんもご存知のメルカリがカバレッジツール「Codecov」を経由して一部のソースコード、一部の顧客情報が流出したと発表した。
Codecovとはメルカリ内部のプログラムをテストするために使うツールなので、一般の人はほぼ知らないと思われる。
私はプログラミングを本業でかじっているので、分かる範囲で解説していこと思う。
メルカリの被害は
・流出した顧客情報
17,085件(売上金の顧客口座への振込に関する情報)
・流出したソースコード
一部
ソースコードが一部とあるが、メルカリくらいのレベルならソースコードが流出したからといって本番のアクセス情報がダダ漏れになるということは無いと思われる。
なぜソースコードが流出しても、パスワードなどが流出しないかというとパスワードは別で管理している(はず)だからである。
ただし、これはちゃんとした有識者がセキュリティー面も考えて運用していた場合なので、そういった運用をしていないで、ソースコードに全ての情報を詰め込んでいると色々と流出している可能性がある。
ただ、「はず」とやや強めに入れるのはメルカリの勉強会などに何度か参加した事があるが、かなり技術面はしっかりしている印象を受けた。
なので、あのメンバーだったらそこまで変なパスワード管理はしないだろうなぁと予想する。
ぜひ、私の期待を裏切らないで欲しい。。。
Codecovとは
テストのコード網羅率を計測するツールである。
何かプログラミングをする際は言語を決めてコードを書きますが、
その際にうまく動くかどうかを事前にテストを行う単体テストというものが存在する。
例えば、この機能なら1を入力すれば3が返ってくるはず。
と事前にINとOUTを決めて、その結果を数パターンから多い時には数百パターンと作成していきます。
その結果を可視化したり、slackに通知してくれるサービスです。
対応言語も
Ruby, PHP, JavaScript, CSS, Java, Python, Go, Swift
と非常に多い。
これだけ対応言語が多いのはCodecov側がだいぶ努力していると思われる。
対応言語増やせば増やすほど、作業も倍近くになるから結構対応言語を増やすっていうのは大変です。
Codecovは不正アクセスのために作成された?→違います
誤解を招きそうだったので、違うとはっきり記載しておきます。
私はこの記事を見たときに「もしかしたらそうなのかな?」と思ったので、
私と同じくCodecovは不正アクセスのために作成されたんじゃないか?
という人が居そうだったのでこういう見出しにしてます。
実際に調べてみると「Codecov」に対する第三者からの不正アクセスによって
不正アクセスを受けたサービスを使っているメルカリが被害を受けたということになっています。
Codecovは対応言語も多く、これから伸びるかもしれないサービスだったのに
この一件で少し評価は厳しくなるかもしれませんね。。
特に大企業だと前科持ちは使えない、なんてことは多いですね。
今回の件でも、使っているサービスが無いかどうかチェックが入ると思います。
それに、こういう言い方もあれですがこういったサービスはほぼ代わりがあります。
今回のCodecovも同じようなサービスで「coveralls」というサービスがあるようです。
ただ、対応言語なんかは「coveralls」よりも絶対に多いので、これまで使っていたけど他には以降出来ないという人は確実にいるでしょうね。
なんとかこの不正アクセスを乗り越えて、いいサービスに進化して欲しいですね。
まとめ
- メルカリはCodecovを経由して、不正アクセスを受けた。
- 一部のソースと顧客情報が流出した。
- Codecov自体は不正アクセス用に作成されたものでは無く、Codecovが不正アクセスを受けた
- 代わりのサービスとして、「coveralls」が存在する