「国民的プラットフォーム」が中国人1人に突破され全国民が被害　韓国ネット通販大手クーパン3370万人顧客情報流出

　韓国のネット通販最大手クーパンが中国人元社員に5カ月（147日）で3370万人分の会員の個人情報を奪われたが、その間にクーパンはこれを把握できなかったという。本当に知らなかったなら致命的な無能であり、知りながら沈黙していれば全国民を欺いたことになる。インターネット掲示板やSNS（交流サイト）などでは「国民のプラットフォームが国民を裏切った」などの批判が相次いでいる。国会科学技術情報放送通信委員会所属の与党・共に民主党議員らは声明を出し「単なる技術上の問題ではなく、国民の信頼を根本から揺るがす重大な事件だ」と批判した。

【表】どんな個人情報が流出したのか

■147日にわたり把握できなかったクーパン

　クーパンは11月18日に顧客の個人情報流出を最初に把握したという。クーパンは「約4500人分の会員の個人情報が無断で持ち去られた事実を確認した」「直ちに警察庁、韓国インターネット振興院、個人情報保護委員会など関係機関に通報した」と説明している。

　しかしクーパンは独自に情報流出を確認したわけではない。クーパンが情報流出を確認したと主張している時期（11月18日）より前の11月16日、ある会員がクーパンに「知らない人から私の氏名、住所、直近5件の注文履歴を知っているとの電子メールが届いた」と連絡し、クーパンに確認を求めたのだ。クーパンが直ちに検証したところ、一昨日になって情報流出を把握した。もしこの会員から連絡がなければ3370万人分の個人情報が流出した状態をずっと放置したと考えられる。

　本紙の取材を総合すると、情報を奪ったとされる容疑者はクーパンを退職した中国国籍のソフトウエア開発者だった。顧客個人情報へのアクセス権限がなかったこの人物が退職後に中国でクーパン会員の個人情報を奪っていたという。警察は11月25日にクーパンから告訴状を受理し捜査を開始した。

　実際に情報流出が始まったのは5カ月前だ。クーパンは、今年6月24日から個人情報へのアクセスが始まったことを把握したが、会員から連絡があるまで147日にわたりクーパンはその気配も感じていなかった。クーパンが流出の事実を把握した後、この中国人容疑者はクーパンに「会員の個人情報を確保している。セキュリティーを強化しなければ個人情報流出の事実を公表する」と脅迫メールを送ったという。セキュリティー業界の関係者によると、これは犯行がばれた時にハッカーらがよく取る手口だという。

　この中国人は退職後に中国に戻り、在職中に入手したとみられるトークン（ワンタイムパスワードを生成する機器）を使い147日かけて3370万人分の個人情報を奪っていたことが確認された。退職した元社員が、それも海外から会員の個人情報を勝手に奪っている間、クーパンのセキュリティーシステムは全く機能していなかったのだ。

　1人の退職した元社員がクーパン会員の個人情報を事実上全て奪ったとはにわかに信じ難い。クーパン内のアクセス権限を管理するシステムが完全に無防備状態だったことが分かる。問題の元社員が巨大な組織や産業スパイとつながっている可能性も排除できない。流通業界のある関係者によると、最近は複数の世界的なグローバル企業に中国などから来た産業スパイが偽装就業を試みるケースが相次いでいるという。