韓国最大の小売業者であるクーパン(Coupang)は、3,370万人の顧客の個人情報が流出するデータ侵害の被害に遭いました。
同社は韓国語サイト上で、このインシデントが2025年6月24日に発生したものの、11月18日になって初めて把握し、調査を開始したと警告しています。
「2025年11月18日、クーパンは約4,500名の顧客アカウントに関連する個人情報への不正アクセスを認識しました」と公表文には記載されています。
「その後の調査の結果、合計3,370万件のアカウント情報が流出していたことが判明しました。」
調査は現在も進行中ですが、流出が確認された顧客情報には、氏名、電話番号、メールアドレス、住所、注文情報が含まれています。
クーパンによると、クレジットカード情報などの決済情報や、パスワードといったアカウント情報は流出していないとのことです。
クーパンは、韓国市場で事業を展開する米国拠点のテクノロジー・オンライン小売企業で、従業員数は9万5,000人、年間売上高は300億ドル超に上ります。
同社はすでに、国家警察庁、個人情報保護委員会、韓国インターネット振興院(KISA)など、国内の関係当局に本件を報告しており、影響を受けた個人にはメールまたはSMSで通知するとしています。
クーパンは、情報が流出した顧客に対し、小売大手を装った電話、SMS、その他の連絡に十分注意するよう呼びかけています。
同社は、攻撃の手口や犯行グループについての情報を一切明らかにしておらず、記事公開時点までに、この攻撃の犯行声明を出したサイバー犯罪者はいません。
韓国紙Korean Heraldの英字経済メディアであるThe Investor は、この侵害は元従業員によって行われたものであり、失効していなかったアクセス・トークンを悪用してクーパンのシステムから機密データを盗み出したと報じています。ただし、BleepingComputerはこれらの詳細を独自に裏付けることはできていません。
クーパンの情報流出は、今年韓国で発生した大規模サイバーセキュリティインシデントとしては2件目となります。
4月には、同国最大の移動体通信事業者であるSKテレコムが、自社ネットワークに影響を与えたマルウェア感染により、機微なUSIMデータが流出したと顧客に警告しました。
同社はその後、最初の感染は3年前の2022年6月に始まり、合計2,700万人の加入者に影響したことを確認しており、これは同社の全顧客基盤に相当します。
