韓国の個人情報保護機関は、数千万人の顧客の個人情報が流出したデータ漏洩事件の調査を経て、韓国最大のオンライン小売業者クーパンに対し、過去最高額となる6,247億ウォン(4億900万ドル)の制裁金を科しました。
個人情報保護委員会(PIPC)は水曜日の全体会議で、クーパンおよびその物流子会社クーパン・フルフィルメント・サービスへの制裁を決議しました。調査の結果、今回の漏洩は巧妙なハッキングによるものではなく、「基本的な安全管理上の欠陥」に起因することが明らかになっています。
今回の制裁金は、個人情報漏洩事案として同委員会がこれまでに科した中で最高額となるものです。今年初めに SKテレコムに課された従来の最高額1,348億ウォン(8,880万ドル)を大幅に上回ります。
この情報漏洩が最初に公表されたのは11月のことです。クーパンは約3,370万件の顧客アカウントが侵害されたと発表しており、これは韓国の総人口の約65%に相当します。
PIPCの調査により、3,322万2,472人の登録会員が被害を受けたことが確認されました。さらに、クーパンがこれまで認めていなかった被害者群も明らかになりました。他の顧客が配送先として登録したために氏名・電話番号・住所が保存されていた非会員が少なくとも433万8,368人存在しており、彼らは自身のデータがクーパンに保持されていることをまったく知る由もありませんでした。
規制当局は2025年12月から2026年1月にかけて、こうした非会員被害者への通知を行うよう同社に対して4度にわたり正式に要求しましたが、クーパンはいずれの機会にも応じませんでした。
実行者は、2024年末にクーパンを退職した中国籍の元従業員(氏名非公表)です。在職中にクーパンの代替認証システムを自ら開発しており、退社前にそのシステムの根幹を支える署名鍵を窃取していました。
2025年1月には窃取した鍵を使って95件のアカウントでテスト実行を実施しています。4月からは会員IDを系統的にスキャンし、2か月間でクーパンの配送先住所ページに約1億4,800万回アクセスして氏名・電話番号・住所を収集しました。
その後、6月から10月にかけてはアカウント編集ページに約3,500万回アクセスし、氏名とメールアドレスを収集しています。最終段階では、マンションの入館コードや注文履歴も取得しました。
元従業員は収集したデータを顧客ごとのプロファイルに再構成し、会員とクーパン双方に2通の恐喝メールを送付しました。2通目のメールでは、1億2,000万件の住所、5億6,000万件の注文記録、3,300万件超のメールアドレスを保有していると主張し、購入履歴を含む機密性の高いサンプルデータも添付されていました。
PIPCの調査によれば、7か月間にわたる攻撃期間中、被害を受けたページへのトラフィックは通常レベルの何倍にも跳ね上がり、数千万回ものアクセス試行が存在しない会員IDを使用していました。しかし、ある顧客が恐喝メールを転送するまで、クーパンはこれらを一切検知できませんでした。
委員会は証拠隠滅を理由にクーパンを刑事告発しました。規制当局はクーパンが最初の漏洩報告を提出した翌日の11月21日にアクセスログの保全を命令しましたが、その6日後、同社は約6か月分のウェブアクセスログを手動で削除しました。
クーパンはさらに、6か月経過後にログを自動削除する通常の運用ポリシーを停止することも怠ったため、さらなる記録が消去されました。攻撃期間中のログのうち約13%が失われ、すべての被害者を特定することが不可能な状況となっています。
捜査の過程で警察は別途、川底から破壊されたノートパソコンを回収しました。容疑者がレンガで重しをして証拠隠滅を図ったとみられるMacBook Airで、マンディアント、パロアルトネットワークス、アーンスト・アンド・ヤングのフォレンジックチームが当局への引き渡し前に解析を実施しました。
追加の違反行為も発覚
国会での公聴会やメディア報道を受けて2026年1月に拡大された調査では、漏洩事件とは別にいくつかの違反行為も明らかになりました。
「クーパン・パートナーズ」アフィリエイトマーケティングプログラムを通じ、同社は約1,120万人のユーザーのサードパーティ閲覧行動(訪問URL、アプリ名、タイムスタンプ、IPアドレス、端末識別子)を同意なく密かに収集し、個々の会員アカウントと紐付けていました。
クーパンはこの情報が個人データに当たらないと主張しましたが、規制当局はこれを否定し、会員IDや端末識別子と組み合わせて保存されていた点を指摘しました。委員会はこの違反だけで追加の2,011億ウォン(1億3,200万ドル)の制裁金を科しました。クーパンは調査官による指摘を受け、2026年4月にこれらの記録を削除しています。
同プログラムの一部の広告パートナーは、いわゆる「ハイジャック広告」も展開していました。ユーザーの同意なしにクーパンへリダイレクトするもので、透明なボタンで画面全体を覆い、どこをクリックしてもリダイレクトが発動するケースも確認されています。
調査によれば、クーパンは2022年からこの手口を把握していながら、自社の削除基準を満たした違反パートナーのアカウントを停止せず、発覚後に手数料を引き上げたケースすら存在したことが明らかになりました。
物流子会社のクーパン・フルフィルメント・サービスについても、クーパンの倉庫で一度も勤務したことのない警察担当記者71人を、「虚偽情報の拡散」を理由として当人の知らぬ間に社内の雇用ブラックリストに密かに追加していたことが判明しました。
同子会社はさらに、健康管理目的で収集した従業員の体重データを、別途の法的根拠なく労働災害訴訟の証拠として提出していたことも明らかになりました。
委員会はさらに、クーパンが2025年12月に社内で実施したハッカーへの独自調査(当時、国会議員や政府関係者から批判を受けた)において、自社のチーフ・プライバシー・オフィサーをプロセスから完全に排除していたことも認定しました。規制当局はこれを社内コミュニケーション上の失敗ではなく、法律で義務付けられたチーフ・プライバシー・オフィサーの独立性を実質的に侵害する違反行為と判断しています。
1月に妨害捜査の容疑者として警察の事情聴取を受けたハロルド・ロジャース代表取締役代行は、当局への全面協力を約束していました。クーパンは今回のPIPCの決定を遺憾としつつ、正式な書面による裁決を受領した後、法的手続きを通じて異議申し立てを行う権利を留保すると表明しています。
調査期間中に中断していた2,500件超の個人・団体申立人による紛争調停手続きは、6月12日に再開される予定です。米国でのクラスアクション訴訟も依然として係属中です。
クーパンの株価は年初から約35%下落しています。同社は収益成長が鈍化する可能性を警告しており、情報漏洩とその対応の両方について韓国国会議員からの継続的な監視にさらされています。
翻訳元: https://therecord.media/south-korea-data-breach-record-fine-coupang
