概要:韓国EC大手Coupangで大規模データ侵害
韓国のEコマース大手Coupang(クーパン)は、約3370万件もの顧客個人情報が流出した大規模なデータ侵害を公表しました。これは同社の全ユーザーベースに近い数字であり、韓国における過去最大級の個人情報侵害となる可能性があります。
流出した情報と影響
Coupangによると、流出したデータには以下の情報が含まれています:
- 顧客名
- 電話番号
- メールアドレス
- 配送先住所
- 注文履歴
同社は、クレジットカード番号、支払い情報、口座パスワードなどの機密性の高い金融データはアクセスされていないと強調しています。そのため、顧客はパスワードをリセットしたり、アカウントの使用を停止したりする必要はないとしています。しかし、Coupangを装ったフィッシング詐欺に注意するよう警告しています。
侵害の原因と背景
この攻撃は、元Coupang従業員が関与しているとされています。この従業員は、退職時に取り消されるべきであった社内アクセス権、特に特定の暗号署名キーを悪用したとみられています。Coupangの認証システムを担当していた中国籍の元従業員は、これらのキーを使用して偽のアクセストークンを作成し、通常のセキュリティチェックを経ずに海外からログインした疑いがあります。
不正アクセスは2025年6月24日に開始されたとみられていますが、Coupangが異常な活動に最初に気づいたのは11月18日でした。当初、影響を受けた顧客は約4,500人と考えられていましたが、その後の詳細な内部調査により、数千万のアカウントがアクセスされていたことが判明しました。
捜査と潜在的な法的・経済的影響
現在、ソウル地方警察庁がCoupangのサーバーログを調査しており、海外のパートナーと協力して攻撃に使用されたIPアドレスを追跡しています。また、Coupangにセキュリティの脆弱性を暴露すると脅迫する匿名メールについても調査が進められています。これらのメールには身代金の要求がなかったため、攻撃者の動機については疑問が残っています。
Coupangは、深刻な法的および経済的影響に直面する可能性があります。韓国の個人情報保護法に基づき、規制当局は年間平均収益の最大3%の罰金を科すことができます。Coupangの最近の収益を考慮すると、この罰金は最大1兆ウォン(約6億8000万ドル)に達する可能性があり、これまでの最高額である1348億ウォンを大幅に上回ることになります。
Coupangの対応
Coupangは、影響を受けた全ての顧客にメールとテキストメッセージで通知を送信しており、調査を進める政府機関に全面的に協力していると述べています。
元記事: https://gbhackers.com/coupang-data-breach-exposes-of-33-7-million-customers/