侵害ラウンドアップ：Coupangの侵害が引き金となり経営陣が刷新

毎週、Information Security Media Groupは世界各地のサイバーセキュリティ事件と侵害をまとめています。今週は、Coupangでの経営陣刷新、攻撃者によるFortinetの重大なSSO欠陥の悪用、Pornhubのデータハッキング、テキサス州司法長官ケン・パクストンが「秘密裏の監視」を理由に主要スマートTVメーカーを提訴、自動車金融プロバイダーの700Creditが数百万人に影響する侵害を公表、復活した親ロシア系ランサムウェア作戦がつまずいた――といった話題です。

韓国最大のオンライン小売業者CoupangのCEOが、国内に住むほぼすべての成人の物理的・デジタルの連絡先情報が露出した大規模データ侵害を受け、同社を離れました。

月曜日の規制当局向け提出書類で、米国上場のEコマース企業は、パク・デジュンCEOが今月初めに辞任したと述べました。Coupang Inc.の法務顧問兼最高管理責任者であるハロルド・L・ロジャース氏が現在、暫定CEOを務めています（参照：韓国のEコマース大手Coupang、大規模侵害を調査）。

この人事は、Coupangが韓国の国会議員からの監視強化に直面する中で行われました。創業者で会長のボム・キム氏は、侵害を検証するために招集された国会公聴会に出席せず、議員らは法的措置の可能性を警告しました。ロジャース氏はキム氏に代わって証言し、ガバナンスの監督体制と同社のインシデント対応について、議員から繰り返し追及を受けました。

Coupangは、12月1日に公表されたこのインシデントについて、侵害に金融データや認証データが含まれていないため、事業運営に重大な影響はないと述べました。ソウル警察庁は今月初め、証拠捜索のため同社のソウル本社を家宅捜索しました。この侵害は、かつて同小売業者の認証システムを開発していた中国籍の人物によるものとみられています。当局は氏名を公表しておらず、容疑者は中国にいるとみられています。この開発者は1年前にCoupangを退職したものの、社内の認証キーを保持し、6月からそれを用いてデータ窃取を開始したとされています。同社システムが流出を検知したのは11月18日でした。

韓国のデータプライバシー法では、侵害が発生した場合、政府は企業に対し過去3年間の平均年間売上高の最大3%までの罰金を科すことができます。ウォール・ストリート・ジャーナルが報じたところでは、その額は合計で7億5,000万ドルに上る可能性があります。

セキュリティ研究者らは、FortiCloudのシングルサインオン（SSO）保護を回避できる2件の重大な認証バイパス脆弱性が公表された後、Fortinet機器が実際に悪用されているとして警告しています。

サイバーセキュリティ企業Arctic Wolfは、FortinetがCVE-2025-59718およびCVE-2025-59719に関するアドバイザリを公開してから3日後の12月12日、FortiGateアプライアンスに対する悪意あるSSOログインを観測し始めたと述べました。Fortinetは、影響を受けるFortiOS、FortiProxy、FortiWeb、FortiSwitchManagerの各バージョン向けにパッチをリリースしました。

いずれも重大（Critical）と評価されたこれらの欠陥は、SAML認証における暗号署名検証の不備に起因し、機能が有効になっている場合に未認証の攻撃者がFortiCloud SSOを回避できるようになります。悪用は盗まれた認証情報に依存せず、認証完了前に発生するため、パスワード強度や多要素認証は防御として有効に機能しません。

Arctic Wolfによると、悪意あるログインはデフォルトの管理者アカウントを標的としていました。多くのケースで、侵入に成功した攻撃者はアクセス取得後に機器設定をエクスポートしており、ネットワークトポロジー、VPN設定、ハッシュ化された認証情報が露出した可能性があります。

サイバー恐喝グループShinyHuntersが、アダルトサイトPornhubのプレミアム購読者に属するデータを公開すると脅迫しています。同グループはPornhub Premiumユーザーに属する2億件超のレコードを盗んだと主張しており、BleepingComputerが報じました。主に西側の若年層で構成されるこのグループは、ウェブ解析企業Mixpanelへの侵入によって情報を盗んだ可能性があります。

Pornhubはユーザーに対し、同社システムは侵入されておらず、ハッカーはパスワード、支払い情報、金融情報を入手していないと伝えています。

Mixpanelは、盗まれたPornhubデータの出所ではないと述べています。同社は11月27日にスミッシング（SMSフィッシング）インシデントを公表しました。ChatGPTの開発元OpenAIは、このインシデントで一部のAPIユーザーのデータが露出したことを認めました。しかしMixpanelは、Pornhubのデータが「2025年11月の当社セキュリティインシデント中、またはそれ以外のいかなる形でもMixpanelから盗まれた」ことを示す兆候はないと、メディアに対して

テキサス州司法長官パクストン、監視をめぐり主要TVメーカー5社を提訴

テキサス州司法長官ケン・パクストンは提訴し、侵襲的なスマートTV追跡技術を通じて視聴者を違法に監視したとして、主要テレビメーカー5社――Sony、Samsung、LG、Hisense、TCL――を被告としました。

提出書類によれば、各社は自動コンテンツ認識（ACR）ソフトウェアを組み込み、消費者の十分な同意なしにスクリーンショットや音声・映像データを取得していたとされています。場合によっては500ミリ秒ごと、別のケースでは10ミリ秒ごとという頻度でデータを記録し、家庭内で消費者が何を視聴しているかをほぼ連続的に監視できる状態だったといいます。訴状は、この監視がストリーミングアプリにとどまらず、ゲーム機、ノートPC、ケーブルボックス、さらには防犯カメラ映像など、HDMI接続機器にも及んだと主張しています。

訴状では、テレビがインターネットから切断されていてもデータ収集を継続し、接続が復旧するとその情報を送信していたとも主張されています。データは、政治的信条、宗教観、健康上の関心、家族属性などの機微な個人属性を推測し得る詳細な消費者プロファイルの構築に用いられた疑いがあります。

パクストンは、セットアップ時のワンクリック同意や、複数手順を要する複雑なオプトアウトなど、欺瞞的な同意取得の仕組みを各社が用いたとして非難しました。

大手自動車金融テクノロジー提供企業700Creditで発生したサイバーインシデントにより、米国の消費者約600万人分の機微な個人情報が露出しました。同社はウェブサイトに掲載した通知で、10月25日に不審な活動を検知し、無許可の第三者が700Dealer.comプラットフォームのアプリケーション層に保存されていたデータへアクセスしたと述べました。同プラットフォームは、約18,000の自動車ディーラーが与信およびコンプライアンスチェックの処理に利用しています。露出した情報には、氏名、住所、社会保障番号、生年月日が含まれます。このインシデントは約580万人に影響したと報告されています。

700Creditは、フォレンジック調査担当者が社内ネットワーク侵害の証拠を見つけておらず、事業運営への支障も報告されていないと述べました。また、露出情報のなりすまし、詐欺、悪用の確認事例は特定していないものの、調査は継続中だとしています。

ミシガン州司法長官ダナ・ネッセルは、フィッシングメールに警戒するよう消費者に助言しました。

サイバーセキュリティ研究者がインド発と特定した親ロシア系ハクティビスト集団CyberVolkは、2025年にランサムウェア攻撃を再開しました。しかし、新プラットフォームVolkLockerで大々的にうたわれた改良点には、根本的な不手際が伴っているようです。

SentinelOneのサイバーセキュリティ研究者は、CyberVolkの復帰は、同グループのTelegram基盤が繰り返し停止させられた今年初めの混乱に続くものだと述べています。同グループはその後、WindowsとLinuxの両方で動作するよう設計されたGolangベースのランサムウェア系統であるVolkLockerを中心に活動を再構築しました。

表向きには、モデルは合理化されています。参加希望のアフィリエイトは、暗号資産ウォレット、暗号化期限、Telegramボット連携などの設定オプションを選ぶことで、カスタマイズされたペイロードを生成できます。コマンド＆コントロールおよびアフィリエイトとの通信もTelegram経由で行われ、攻撃展開に必要な技術的労力を軽減します。

しかし、このプラットフォームには目立つ設計上の欠陥があります。マスター暗号化キーがバイナリにハードコードされているうえ、被害者システム上に平文でダンプされるため、身代金を支払わずに暗号化ファイルを復旧できてしまいます。

先週のその他の記事

• AIがサイバー防御側を追い越す恐れ、米議会で証言
• Microsoft、2026年までにKerberosでRC4を廃止へ
• ロシアGRU、重要インフラのクラウド侵害に関与か
• ユーススポーツとNCAAの保険請求、ハッキングの可能性
• フランスとドイツ、国家主体のハッキングに対処