韓国最大のEC企業であるクーパンは、国内ユーザーのほぼ全体に影響する大規模なデータ漏洩を公表しました。同社は3,370万人以上の顧客アカウントデータへの不正アクセスを確認しており、漏洩した情報には氏名、電話番号、メールアドレス、住所、注文履歴が含まれています。
同社は当初、11月18日に不審なアクセスを検知し、約4,500件のアカウントが関与する漏洩を特定しました。しかし調査が進むにつれて、その規模は拡大しました。今回の漏洩は6月下旬まで遡るとみられ、国外にあるサーバーが発信元であることが判明しています。
韓国のインターネット監視機関や警察当局が積極的に調査を進めています。クーパンは、国家警察庁、個人情報保護委員会、韓国インターネット振興院に漏洩を報告しました。
同社によると、決済情報やパスワード、アカウントのログイン情報などの機微なデータが漏洩した証拠はないとしています。この主張は、クーパンが公式ウェブサイトに掲載したFAQでも繰り返されており、クレジットカード情報は安全であると利用者に説明しています。
それでも、セキュリティ専門家は漏洩が長期間続いていたことに懸念を示しています。アクセスセキュリティ企業PathlockのCEOであるピユシュ・パンディ氏は、このような事件は境界防御だけでなく、早期の脅威検知の必要性を浮き彫りにするとコメント。「現在の脅威環境では、攻撃を防ぐだけでなく、漏洩が発生した際にどれだけ迅速に対応できるかが重要です」と述べています。
漏洩の影響を受けたクーパンユーザーには、メールやSMSで直接通知が行われています。同社は、被害を受けた顧客に追加対応は不要としつつも、この事件に便乗したフィッシング詐欺に注意するよう呼びかけています。
現時点では、漏洩したデータの二次的な悪用は報告されていませんが、影響の全容は引き続き調査中です。クーパンは社内チームが捜査当局と連携しており、今後新たな情報が判明次第、随時報告するとしています。
韓国の総人口5,170万人のうち、クーパンのデータ漏洩は約65.2%に影響します。
今回の漏洩は、SKテレコムなどが標的となった最近の大手韓国企業における一連のデータインシデントに加わるものです。今回ほぼすべての韓国ユーザーが影響を受けたことで、クーパンは社内のセキュリティ体制や漏洩対応のスピードについて厳しい問いに直面しています。
翻訳元: https://hackread.com/coupang-data-breach-south-korean-accounts/
