韓国当局、個人情報流出のクーパンにシステムの脆弱性修正を要求

Heekyong Yang　Hyunjoo Jin

[ソウル １０日 ロイター] - 韓国当局は１０日、大規模な個人情報流出が起きた電子商取引大手クーパンについて、セキュリティーシステムの脆弱性を修正する必要があると表明した。

科学技術情報通信省は政府主導調査の初期結果を公表。同社の元エンジニアが認証システムの脆弱性を認識していたと指摘し、データ漏えいが起きる３カ月前の２０２５年１月にアクセスを試みた記録を根拠に挙げた。情報流出は同年１１月まで続いた。

同省は調査により、顧客約３３７０万人の個人データ流出を確認したと説明。「攻撃者はユーザー認証の脆弱性を悪用し、正当なログインなしにユーザーアカウントにアクセスし、大規模な情報漏えいを引き起こした」と述べた。

元従業員が内部セキュリティーキー（署名キー）を盗み出したと非難。これは偽のログイントークンを生成し、顧客アカウントへ不正アクセスするために使用されたという。

同省によれば、この元スタッフエンジニアがクーパンのユーザー認証システムの一部を設計・開発しており、同社が開発者の退職後に不正ログインを検知できず、署名キーを変えなかったことが問題だったと指摘。「偽造・改ざんされた電子アクセスカードの検証システムが不十分だったため、攻撃を事前に検知・遮断することが困難だった」とした。

その上で「クーパンは通常の発行プロセスを経ない電子アクセスカードに対する検知・遮断システムを導入する必要がある」と訴えた。

警察などによる別個の捜査・調査は継続中だ。

クーパンは声明で「さらなる被害を防ぐために必要なあらゆる措置を講じ、再発防止のための安全対策を引き続き強化する」と述べた。

同社によると、元従業員が作成したソフトウェアプログラムによって約１億４０００万件のデータ照会が生成されたが、第三者がこのデータにアクセスしたり、閲覧したりした形跡はない。データには支払い情報やログイン情報は含まれていなかった。

また、約３０００件のユーザーアカウントから保管されていたデータは後に削除され、二次的な被害が生じた証拠もないと述べた。