【ソウル聯合ニュース】韓国のネット通販大手、クーパンの元社員が顧客の個人情報を流出させた問題で、流出規模は政府の当初推定通り3300万件を超え、不正に照会された配送先住所などの情報は約1億5000万回に上ることが分かった。
科学技術情報通信部は10日、政府ソウル庁舎で、同問題に関する官民合同調査のこれまでの結果を公表した。
同部によると、官民合同調査により、利用者名やメールアドレスなど約3367万件の個人情報が流出したことが確認された。
「配送先一覧」のページでは、氏名や電話番号、住所のほか、配送時に使用する共同玄関の暗証番号を含む個人情報が、計約1億4800万回にわたって不正に照会されていた。このデータには、アカウント所有者本人だけでなく、家族や友人など第三者の情報も多数含まれており、被害対象がさらに拡大する可能性があるという。
調査団が把握した流出規模は、元社員が昨年11月、クーパン側に送った電子メールで主張していた規模を下回っている。この元社員はメールの中で「1億2000万件以上の配送先住所、5億6000万件以上の注文データ、3300万件以上のメールアドレスを確認した」としていた。
調査団によると、この元社員は在職中、システム障害時のバックアップ用認証システムの設計を担当する開発者だった。2025年1月からサーバーの脆弱性を突き、攻撃が可能か試行した後、同4月14日から本格的な情報の持ち出しを開始。11月8日まで自動収集ソフトを用いて個人情報を収集していたが、外部への転送は確認されていない。
調査団は、元社員が認証の不備を悪用し、正常なログインなしにアカウントへ接続して大規模な情報を流出させたにもかかわらず、クーパン側がこれを察知できなかったと指摘した。不正ログインが行われる可能性は事前のテストで明らかになっていたにもかかわらず、クーパン側が対策を講じていなかったことも判明した。
調査団はクーパンに対し、不正アクセスの監視強化などを要求し、セキュリティーに関する規定を順守できているか、定期的な点検をするよう求めた。
また同部は、同社が情報流出を把握してから当局へ報告するまで2日以上を要し、「24時間以内」とする規定に違反したとして過料を科す方針だ。さらに、当局が命じた資料保全に従わず、約5カ月分のウェブ接続ログなどが削除されたことについては、警察に捜査を依頼した。
同部は調査結果に基づき、今月中に再発防止策の履行計画を提出するようクーパンに求め、今年7月まで履行状況を点検する方針だ。