- クーパンが3,400万人分の顧客の個人情報(PII)が流出した大規模侵害を認めるも、およそ6カ月間検知されず
- 元従業員アカウントの不正利用が報じられたことを受け、警察がソンパ区オフィスを家宅捜索し証拠を押収
- 1万人超の被害者が集団訴訟を進めており、補償を求めている
韓国最大のECサイト、クーパンのオフィスが、同国の近年の歴史の中でも最大級のデータ侵害の一つを捜査する一環として、警察の家宅捜索を受けた。
11月末、クーパンはサイバー攻撃を受け、3,400万人分の顧客の個人を特定できる情報(PII)を失ったことを認めた。同社CEOによると、攻撃は2025年6月に始まっており、ほぼ半年もの間、発見されなかったという。
その間に攻撃者は、氏名、メールアドレス、電話番号、配送先住所、特定の注文情報などを流出させ、被害者をなりすましや詐欺の深刻なリスクにさらした。
十数名を超える捜査官
当初の報道によると、このデータ窃取はクーパンの元従業員であり中国籍でもある人物によって行われたとされている。退職後も同人物のアカウントが停止されておらず、そのアクセス権が後にデータ流出に悪用された疑いがあるという。
現在は警察も捜査に加わっており、ソンパ区にある同社オフィスでの家宅捜索と押収のため、17人の捜査官を派遣した。地元メディアによると、「今回の家宅捜索と押収は、事件を正確に把握するために不可欠な措置」であり、「個人情報の流出者、流出経路、原因など、事件全体の事実関係を総合的に捜査するためのもの」だという。
地元メディアはまた、社内文書やサーバーログなどの証拠が押収されたとも伝えている。
「クーパンは、科学技術情報通信部、個人情報保護委員会、韓国インターネット振興院、警察庁、その他の官民合同捜査チームと緊密に協力し、これ以上の被害を防ぐため最善を尽くします」と、クーパンのパク・デジュンCEOは、流出後に公開された書簡の中で述べた。
クーパンは国内最大のECストアであり、しばしば韓国の「アマゾン」と呼ばれている。この捜査とは別に、ロイターは、すでに1万人以上が同社に対する集団訴訟への参加意思を示しており、被害に対して1人あたり68ドルの支払いを受ける可能性があると報じている。
