韓国 ロッテカードへ不正アクセスとランサムウェアによるサイバー攻撃、約300万人分の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

韓国 ロッテカードへ不正アクセスとランサムウェアによるサイバー攻撃、約300万人分の個人情報漏洩の可能性

韓国の大手クレジットカード会社ロッテカードで、2025年8月中旬に外部からの不正アクセスによるサイバー攻撃が発生し、約300万人分の顧客の個人情報が流出しました。

漏えいした可能性があるのは、複数のID情報や連絡先情報に加え、一部の顧客ではカード番号・有効期限・認証コード(CVC/CVV)といった金融情報です。

概要

漏洩した可能性があるのは、住民登録番号などの識別子、社内ID、連絡先情報に加え、一部の顧客ではカード番号・有効期限・認証コード(CVC/CVV)といった金融情報です。

同社は不正利用の確認はないとしつつ、該当顧客への通知とカード停止・再発行の手続きを開始しました。韓国の個人情報保護委員会(PIPC)は金融当局と連携し、法令違反の有無と被害規模の精査に着手しています。経営トップは会見で謝罪し、被害補償と経営・セキュリティ体制の抜本改革を約束しました。

原因(推定)と侵入経路

現地報道および同社の説明を総合すると、2017年に修正パッチが出ていた決済関連サーバ(海外向けで利用が限定的)が未更新のまま残存しており、そこを突かれて侵入された可能性が高いとみられます。侵入後、およそ2週間にわたり検知されず、合計約2,700件のファイルが外部に持ち出されたと推測され、

このうち暗号化されていたのは約56%にとどまっていました。長期未パッチの孤立サーバ監視の不十分さ(遅延検知)データ暗号化の未徹底という三重の管理課題が露呈しています。

影響

ロッテカードは約960万人の会員を抱え、国内クレジット決済の日次10%前後を処理するインフラ事業者です。今回の漏えいは、標的型フィッシングや本人なりすまし、クレジット不正利用のリスクを長期にわたり高めます。特に識別子+連絡先+(一部)カード情報の組み合わせは、

攻撃者にとって悪用価値が高く、複合的な詐欺につながるおそれがあります。

なお、2019年にロッテカードを買収したMBKパートナーズによるセキュリティ投資の十分性をめぐって議論が生じており、MBK側はIT(セキュリティ含む)へ約6,000億ウォンの投資を行ってきたと反論しています。
政府側では、金融セクターは金融保安院(FSC傘下)、非金融はKISA(科学技術情報通信部傘下)という所管縦割りが、初動・情報共有・統合対応の遅れを招いたとの批判が浮上しました。

参照

Government fragmentation hinders coordinated response to Lotte Card data breach in Korea