hankyoreh

ソウル市内のあるクーパン物流センター/聯合ニュース

　「明らかに管理の問題だ。知能化された攻撃とは言いがたい」

　官民合同調査団は10日、韓国のネット通販大手「クーパン」の個人情報漏洩事故の調査結果を発表し、今回の事故の原因としてクーパンの不十分な認証システムと情報保護管理の不備を指摘した。退職した元従業員が1年近く電子入場証を偽造して非正常なシステム接続をしていたにもかかわらず、クーパンはこれを全く検知・遮断できなかったということだ。

■クーパンはどのような攻撃で突破されたのか

　調査団の説明によると、クーパンの個人情報を盗んだ漏洩者は、在職中にユーザー認証システムを設計・開発していたソフトウェア開発者（バックエンド・エンジニア）のA氏だった。A氏はクーパンのサーバーの認証脆弱性を悪用し、正規のログイン手続きを経ずに利用者アカウントにアクセスし、個人情報を無断で流出させた。正常に接続する場合、利用者はIDとパスワードを入力してログインし、「電子出入証」を発行してもらい、クーパンのゲートウェイサーバーはその電子出入証の有効性を検証した上でサービスへの接続を許可する。しかし、A氏は在職中に管理していた利用者認証システムの署名鍵を利用して電子出入証を偽造・改ざんした。これにより、ログイン手続きを経ずにクーパンのサービスに不正アクセスできた。A氏は退職後の2025年1月から偽造・改ざんした電子出入証で事前テストを実施し、同年4月からは自動化されたウェブクローリング攻撃ツールを用いて大規模な情報漏洩を本格化させた。この過程で、合計2313件のIP（インターネット上の固有アドレス）が利用されたことが調査で明らかになった。

■「署名鍵管理」の死文化した規定

　クーパンは昨年11月に個人情報漏洩の疑いがあるメールが届くまで、A氏の犯行を全く認識していなかった。調査団は、韓国国内最大の電子商取引プラットフォームでこのような大規模な個人情報漏洩が可能だった背景として、クーパンの利用者認証システムと情報保護管理体制の欠陥を指摘した。事故前、クーパンは情報保護最高責任者（CISO）に報告される模擬ハッキングを通じて電子出入証に基づく認証システムの一部の脆弱性改善を進めていたが、利用者認証システム全般に対する点検は行われていなかった。

　また、内部規定では署名鍵は「鍵管理システム」でのみ保管され、開発者のパソコン（PC）には保存しないことになっているが、調査の結果、A氏のみならず現在在職中の開発者のノートパソコンにも署名鍵が保存されている事実も確認された。事故後も第2、第3の攻撃者が署名鍵を漏洩したり、悪用するリスクが残っていたということだ。さらに、社内規定とは異なり、署名鍵の発行履歴を記録・管理する体制がなく、会社が目的外使用があったかどうかを把握すること自体が不可能だったことが明らかになった。接続記録（ログ）も一貫した基準なしに保存・管理されており、被害ユーザーの識別や流出規模の算定が困難だったと調査団は説明している。

■クーパンはどのような処分を受けるのか

　韓国科学技術情報通信部は、個人情報保護委員会の過料決定とは別に、個人情報漏洩事故への対応過程でクーパンの情報通信網法違反を確認し、過料の課徴と捜査依頼に乗り出した。クーパンは昨年11月17日に情報保護最高責任者に侵害事故を報告したが、韓国インターネット振興院（KISA）には事故を認知した時点から24時間が経過した同月19日の午後9時を過ぎてから報告した。これに伴い、侵害事故の通報遅延（情報通信網法第48条の3）として、3千万ウォン（約318万円）以下の過料が課される予定だ。さらに、韓国政府は事故原因の分析のため同年11月19日に資料の保存を命じたが、クーパンがアクセス記録の自動ログ保存ポリシーを変更しなかったため、2024年7月から約5カ月間のウェブアクセス記録などが削除されたと明らかにした。そのためA氏が退職前にも情報漏洩を企てたり実行した可能性はあるが、それを確認することはできない。これに対し韓国政府は資料保全命令違反（情報通信網法第48条の4）の疑いに関して捜査機関に捜査を依頼している。