通販大手クーパンで認証業務に携わる社員に交付される署名鍵（signing key）が長期にわたり放置され、3370万人の個人情報流出が可能になったとの指摘が相次いでいる。クーパンは容疑者とみられる中国国籍の元ソフトウエア開発担当者の退社後も署名鍵を直ちに削除あるいは更新しなかったため、この元社員がこれを悪用したようだ。

【写真】頭を下げて謝罪する「クーパン」パク・テジュン代表

　国会科学技術情報放送通信委員会の委員長を務めるチェ・ミンヒ議員の事務所にクーパンが提出した資料によると、クーパンは署名鍵の有効期間について「5－10年に設定するケースが多いと把握している。ローテーション期間が長く、その種類によってさまざま」と説明していた。クーパンは今回の個人情報流出に悪用された署名鍵の有効期間については「警察が捜査中」との理由で明らかにしなかった。

　ログインに必要なトークンはデータ室に入るための「ワンタイム社員証」に相当し、署名鍵はデータへのアクセス許可証に例えることができる。チェ・ミンヒ議員事務所は「社員証があってもアクセスを認める許可証がなければアクセスできないが、今回は署名鍵を長く放置し、何者かが継続して署名鍵を勝手に使ったようなものだ」と説明した。

　今回の情報流出はクーパンの中国人元社員が退職後に中国からクーパン会員の個人情報を奪ったと伝えられている。在職中に手にしたとみられるトークンを使い、147日にわたり3370万人のデータをかき集めたようだ。データへのアクセスを可能にする署名鍵をクーパンが長期にわたり放置したため、今回の大規模な情報流出が可能になったとみられる。

　チェ・ミンヒ議員事務所は「署名鍵の更新はセキュリティーの最も基本的な手続きだが、クーパンはこれを怠った」「長期にわたり有効な署名鍵を放置したとすれば、これは元社員の単なる悪意にとどまらず、認証システムを放置したクーパンの組織的・構造的問題からもたらされた結果だ」と指摘した。

イ・ヨングァン記者