韓国のEC大手クーパン(Coupang)は、約3370万人分の顧客情報が外部から不正アクセスを受けて流出した可能性があると公表しました。公式サイト上の韓国語告知と各種報道によると、6月24日に始まった不正アクセスを11月18日に把握し、調査の過程で被害規模が当初想定(約4500件)から一気に拡大したことが判明したとしています。
どんな情報が漏えいしたのか
現在までに流出が確認された(または流出した可能性がある)情報は、以下の顧客情報です。
-
氏名
-
電話番号
-
メールアドレス
-
住所
-
注文履歴や購入情報
一方で、クレジットカード番号などの決済情報や、アカウントのパスワードなどは漏えいしていないと説明しています。
発覚まで約5か月
クーパンによれば、不正アクセスは海外のサーバーを経由して6月24日から継続的に行われていたものの、11月18日になるまで気づけなかったとされています。
11月18日に約4500件分の不審なアクセスを検知し調査を進めた結果、最終的に約3370万件のアカウント情報が閲覧・取得された可能性があることが分かった、という流れです。
韓国メディア「The Investor」は、退職済みの元従業員が失効していないアクセストークンを悪用し、社内システムからデータを抜き取った疑いがあると報じていますが、クーパン側は加害者の特定や攻撃手口の詳細については公式には明らかにしていません。
当局への報告と今後の対応
クーパンは事件を受けて、韓国国家警察庁、個人情報保護委員会、韓国インターネット振興院(KISA)など関係当局に報告し、調査に協力していると説明しています。
また、影響を受けた利用者にはメールやSMSで個別通知を行うとともに、アカウントのメールアドレスを変更する際に追加の認証コード入力を必須とするなど、認証手続きの強化を実施しました。
韓国政府は、この事件を「国民の大多数の個人情報に影響する重大インシデント」と位置づけ、官民合同の調査団を編成して原因究明と再発防止策の検討に着手したと報じられています。
利用者への影響と注意点
今回漏えいした情報は、パスワードやカード番号こそ含まれないものの、「氏名+電話番号+住所+購入履歴」がセットになっているため、クーパンを装ったフィッシングメールやスミッシング(SMS詐欺)、なりすまし電話などに悪用されるリスクが高いと考えられます。クーパンも公式告知の中で、同社名を騙る不審な連絡には特に注意するよう利用者に呼びかけています。
今年の韓国では、4月に大手通信事業者SKテレコムでもUSIM関連データが3年間にわたって流出していたことが発覚するなど、大規模な個人情報漏えいが相次いでいます。
3370万人規模という今回のクーパンの事案は、その中でも最大級であり、オンライン小売・サブスク企業におけるアクセス権管理や退職者アカウントの無効化プロセスの重要性を、あらためて突きつけるものとなりました。
関連記事
韓国国防部のサイトへサイバー攻撃 DDoSにより接続障害が発生
ジャガーランドローバーへのサイバー攻撃 被害で最大15億ポンド(約3,000億円)公的保証
セキュリティインシデント 事例【2024年】
良知経営で不正アクセス、最大45万件の個人情報や取引先情報 流出の可能性
良知経営、不正アクセスの最終報を公表「情報流出の痕跡なし」
住宅設備機器専門卸商社の株式会社ソーゴー、2024年11月のサイバー攻撃で個人情報漏洩は確認されず
芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性
建設業向けの人材紹介業 ビーバーズが1万人以上の個人情報を違法取得
アクリル運動部株式会社、個人情報流出に関する続報を発表-二次被害の報告は無し
