hankyoreh

クーパンの配送車両/聯合ニュース

　韓国のネット通販大手「クーパン」で、個人情報を漏洩した元従業員が約3370万件のアカウント情報を持ち出しただけでなく、顧客の名前や電話番号が含まれた配送先リストが1億5000万件近く照会されていた事実が確認された。昨年末に「流出した個人情報は3000件に過ぎない」と発表したクーパンの説明とは裏腹に、天文学的な被害規模が明らかになったことになる。

　官民合同調査団は10日、政府ソウル庁舎でブリーフィングを開き、2025年4月14日から11月8日までの約7カ月間に、クーパンの「マイ情報修正ページ」を通じて、氏名やメールアドレスを含む加入者情報3367万3817件が流出したと発表した。今回の調査結果は、クーパンのウェブおよびアプリの接続記録（ログ）が保存されている2024年11月29日以降のデータを分析したもの。

　調査団は、漏洩者がこの期間に氏名・電話番号・配送先住所・特殊文字で非識別化されたマンションの共同玄関の暗証番号が含まれた「配送先リストページ」を約1億4806万回閲覧した事実も確認した。そのページには、アカウント所有者本人だけでなく、家族や知人など第三者の個人情報も多数含まれていた。さらに、漏洩者は共同玄関の暗証番号が含まれた配送先リストの修正ページを5万474回、最近注文された商品リストが含まれる注文一覧ページを10万2682回閲覧したことが確認された。住所や注文商品など敏感な個人情報が繰り返し照会され、悪用された恐れが大きい状況だ。

　今回の事故は、クーパンのサーバーの認証脆弱性を悪用した内部者の犯罪であることが明らかになった。漏洩者は、クーパン在籍時に管理していた利用者認証システムの署名鍵を盗み出し、これを利用して正規のログイン手続きを経て発行される「電子入退室証」を改ざんし、クーパンの認証システムを通過させたことが調査で明らかになった。その結果、正規のログインをしなくともクーパンのサービスに不正にアクセスできたことが判明した。

　調査団によると、漏洩者は2025年1月から盗んだ署名鍵と内部情報を利用して電子入場証の偽造・改ざんを試み、事前テストを実施していた。その後、同年4月14日から自動化されたウェブクローリング攻撃ツールを使用して大規模な情報漏洩を本格化させ、この過程で合計2313のIP（インターネット上の固有アドレス）を利用した。

　調査の結果、クーパンは同一のサーバー利用者の識別番号が繰り返し使用され、改ざんされた電子入退室証を利用した異常なアクセス行為が継続していたにもかかわらず、これを検知・遮断できず、情報保護管理体制が不十分であったことが判明した。

　韓国科学技術情報通信部は今回の調査結果を踏まえ、クーパンに対し再発防止策の実施計画を今月中に提出させ、3月から5月にかけて実施状況を確認したうえで、6月から2カ月間にわたり最終チェックを行う予定だ。点検の結果、補完が必要と判断された場合は、情報通信網法第48条の4に基づき是正措置を命じる方針だ。