韓国の小売大手Coupang(クーパン)は、3,370万人分の顧客の個人情報が流出するデータ侵害が発生したことを認めた。同社の名物サービスである「ロケット配送」で築き上げた物流帝国が、個人情報を超特急でばらまく結果になってしまった格好だ。
しばしば「韓国のアマゾン」と呼ばれるこのEC大手は、韓国最大の小売プラットフォームであり、物流事業者であり、倉庫ネットワークでもある――翌日配送サービス「ロケット配送」によって垂直統合された小売の巨人であり、「注文したことを完全に思い出す前に段ボール箱が届く」ことの代名詞として国内で定着している。
Coupangは月曜日、The Registerに対しデータ侵害を認めた。同社はまず11月18日に不正アクセスを検知した時点では、被害は約4,500件の顧客アカウントに限られると見ていたが、その後の調査で、国内の約3,370万件のアカウントが、はるかに広範な情報流出に巻き込まれていたことが判明した。
今回の侵害は韓国の人口の半数以上に相当する規模に及び、顧客の氏名、メールアドレス、電話番号、配送先住所、一部の注文履歴、特定の配送メタデータが含まれている。Coupangは、攻撃者はログイン認証情報やクレジットカード情報には到達できなかったと主張しており、それらは「安全に保護されている」としている。
The Registerに提供された声明の中で、Coupangの広報担当者は同社の対応を説明した。「Coupangは直ちに関係当局(警察、KISA、PIPC)に本件を報告しました」。ここで言う関係当局とは、警察庁、韓国インターネット振興院(KISA)、個人情報保護委員会(PIPC)を指す。
同社によれば、侵入は技術的には6月24日に始まっており、「海外サーバー」から発生し、韓国の法域外にあるインフラを経由していたという。広報担当者は、Coupangはその後「不正アクセス経路を遮断し、社内監視を強化するとともに、独立系大手セキュリティ企業の専門家を招へいした」と述べたが、進行中の調査に関与しているその企業名については明らかにしなかった。
Coupangは、この大規模な侵害の背後に誰がいるのかについても明言を避けたが、地元メディアの報道によれば、中国籍の人物――Coupangの社員だったとされる――が社内からデータを流出させた疑いがあるという。報道によると、この人物は退職後も契約終了後も有効だった認証キーを使ってデータにアクセスし、流出が発覚して間もなく韓国を離れたとされている。
Coupangは顧客に対し、「Coupangを装った電話、SMS、その他の連絡」に警戒を怠らないよう明確に注意喚起し、「ご心配をおかけしたことをお詫び申し上げます」との謝罪を公表した。このフレーズは、もはや巨大コンテナ船が横倒しになる光景を見守るときの決まり文句のようなものになっている。
今回の事件は、韓国最大の携帯電話事業者であるSKテレコムが、約2,700万人分の加入者のUSIM識別情報をハッカーに盗まれていたと明らかにしてから、わずか数カ月後に起きたものだ。同社はその後、韓国の個人情報保護当局から「基本的なアクセス制御すら実装していなかった」と認定され、過去最高額となる1,345億ウォン(9,700万ドル)の罰金を科されている。
もし本当に内部関係者が、国民の半数以上に相当する小売データを持ち出して退職していたのであれば、Coupangも同様の制裁に備えている可能性が高い。
この2件の事件が示しているのは、おおむね同じ不都合な現実だ。韓国の中核的な商取引・通信事業者は、依然として高い価値を持つ「身元情報の標的」であり、攻撃者からはインフラというより、大量の個人データを引き出すためのAPIのようなものとして見なされているのである。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/01/coupang_breach/
