3,370万人の顧客情報が流出したCoupangのデータ侵害は、退職後も社内システムへのアクセス権限を保持していた元従業員に結びつくことが判明した。
これは、今週初めに同社オフィスへの家宅捜索を含む捜査を行ったソウル地方警察庁が、地元メディアに明らかにしたものだ。
Coupangは韓国最大のオンライン小売業者で、9万5,000人を雇用し、年間300億ドル超の売上を上げている。
2025年12月1日、同社は、氏名、メールアドレス、住所、注文情報など、3,370万人の顧客の個人情報が流出するデータ侵害が発生したと発表した。
侵害は2025年6月24日に発生していたが、Coupangがそれを発見したのは11月18日であり、その際に社内調査も開始された。
12月6日、Coupangは本件に関するアップデートを公開し、盗まれた情報はオンライン上のどこにも流出していないと顧客に説明した。
こうした説明と、当局への全面的な協力を同社が主張しているにもかかわらず、警察は独自捜査の証拠収集のため、火曜日に同社オフィスを家宅捜索した。
水曜日には、同社CEOのパク・デジュン氏が辞任を表明し、同国史上最悪のサイバーセキュリティ侵害を防げなかったことについて国民に謝罪した。
警察が2日目もCoupangのオフィスで捜査を続ける中、主な容疑者が、小売大手の元従業員である43歳の中国人男性であることが判明した。
中央日報(JoongAng)によると、この男性は2022年11月にCoupangに入社し、認証管理システムを担当していたが、2024年に退職している。すでに国外に出国したとみられている。
韓国メディアは、警察が昨日もCoupangのオフィスにとどまり、内部文書、ログ、システム記録、IPアドレス、ユーザー認証情報、アクセス履歴など、元従業員がどのように企業システムへアクセスしたのかを解明する手がかりとなり得る記録を押収していたと報じている。
出典: Korea JoungAng Daily
警察は、Coupangは被害者として扱われているものの、過失やその他の法令違反が判明した場合には、顧客データの保護に責任を負う同社および従業員が法的責任を問われる可能性があると述べている。
一方で、この事件をきっかけに国内では大規模なフィッシング活動が発生しており、国民の約3分の2が影響を受けているとみられ、今月に入ってからCoupangを装った詐欺に関する通報が警察に数百件寄せられている。
