韓国は、同国の「アマゾン」とも呼ばれるクーパンが、3,370万件の顧客アカウントの個人情報が流出した可能性があると認めたことで、史上最大級のデータインシデントに直面しています。
当初、小売業者は影響を受けたのは数千人程度と考えていましたが、社内調査によりより大規模な漏洩が明らかになりました。
「今回の漏洩は多くの市民の連絡先や住所が含まれているため、委員会は迅速な調査を行い、安全措置義務違反が認められた場合は厳格な制裁を科す予定です」と科学技術情報通信部が発表し、The Recordが報じました。
決済情報の流出はなし、しかしPIIの漏洩リスクは依然高い
クーパンによると、流出したデータには氏名、メールアドレス、電話番号、住所、注文履歴が含まれています。決済情報やログイン認証情報は漏洩していないとしています。
捜査当局は、不正アクセスが早ければ6月から始まっていた可能性があり、海外のサーバーを経由していたと見ています。
韓国の報道機関は、今回の漏洩がクーパンの元従業員に関連している可能性があると伝えており、警察はサーバーログや関連するIPの動きを分析しています。
当局は、同人物が漏洩に関する脅迫メールを会社に送ったかどうかも調査中です。
信頼されたアクセスが新たなセキュリティの盲点に
これまでのマルウェアや脆弱性連鎖による大規模漏洩とは異なり、今回のインシデントは技術的な悪用ではなく、内部者による不正利用や無許可の内部アクセスが原因である可能性が示唆されています。
これは世界的な傾向とも一致しており、境界防御が強固でも、特権を持つ信頼された役割からのアクセスは依然として高リスクの盲点となっています。
クーパンは韓国の日常生活にロケット配送サービスを通じて深く浸透しているため、流出したデータはフィッシングやなりすまし、標的型詐欺のための豊富な情報源となります。
政府機関は、脅威者がこの情報を利用してクーパンのサポートや配達員、請求担当者になりすます可能性があると警告しています。
韓国では最近、2,700万人のSKテレコム利用者や300万人のロッテカード顧客が被害を受けるなど、同様の事件が相次いでいます。
こうした再発を受け、規制当局は国内のデータ保護体制の構造的な弱点を再評価しています。
内部脅威への防御を強化するには
内部者による漏洩や特権アクセスの不正利用は、組織にとって検知が最も難しい脅威の一つであり、顧客の機微なデータが関わると被害が急速に拡大する可能性があります。
組織は、以下を含む多層的なアプローチを活用すべきです:
- 特権アクセスや管理者権限の監査、特に退職者や契約終了者に対して徹底する。
- 重要な内部システムの監視を強化し、異常なアクセスパターンや深夜の活動、大量データ取得などにアラートを設定する。
- 内部脅威検知ツールの完全運用、行動ベースラインや異常検知を含める。
- データ最小化の徹底により、注文履歴や住所、顧客メタデータを不要に保存しない。
- 顧客やサポートチームへの教育を行い、大規模漏洩後のなりすましを見抜けるようにする。
外部攻撃者や不満を持つ内部者が特権アカウントを狙うケースが増える中、セキュリティチームには高リスクユーザーに対する可視性、強力な監視、明確な監督がより一層求められます。
1つのアカウントが企業最大のリスクになるとき
クーパンの情報漏洩は韓国国内で瞬く間に社会問題となり、議員らは現行の企業への罰則がデータ保護の怠慢を抑止するには弱すぎると主張しています。
大統領府も現行の執行体制を「機能していない」と表現し、企業が消費者データを保管・保護・監査する仕組みの構造的な問題を指摘しました。
この事件はまた、悪意・不注意・侵害を問わず、内部リスクが大規模に検知するのが最も難しいセキュリティ課題の一つであるという世界的な傾向も浮き彫りにしています。
数百万件の記録が複雑なシステムを日々流れるハイパースケールのEC環境では、たった一つの特権アカウントが重大な弱点となり得ます。
企業がデジタル領域を拡大する中、内部統制や監視の強化は外部攻撃者への防御と同じくらい重要になっています。
そのため多くの組織がゼロトラストの導入に注目しており、いかなるユーザーやシステムも本質的に信頼せず、すべてのやり取りを継続的に検証することが求められています。
翻訳元: https://www.esecurityplanet.com/threats/coupang-breach-exposes-data-of-nearly-34-million-customers/
