韓国最大のECプラットフォームであるCoupangは最近、3,370万件の顧客アカウントに影響するデータ侵害を公表しました。これは韓国人口の約3分の2に相当します。
これは韓国史上最大のECセキュリティ事故であり、最大9億ドル(約1.2兆ウォン)の罰金につながる可能性があります。
この侵害は、データ保護システムの脆弱性を露呈しました。特に、取引履歴、配送先住所、支払い方法などの機微なデータを扱うECプラットフォームにとって深刻です。
事件の規模は、顧客や業界関係者の懸念を高めています。
不正アクセスは5か月間検知されず
11月29日、Coupangはユーザー名、電話番号、メールアドレス、配送先アドレス帳、購入詳細が不正に露出したことを確認しました。
同社は11月6日午後6時38分(KST)に異常なアクセスを検知したものの、侵害を完全に特定したのは12日以上後の11月18日午後10時52分でした。
調査の結果、攻撃者は6月24日から11月8日までの約5か月間、海外サーバー経由で顧客データにアクセスしていたことが判明しました。
Coupangの元従業員が最有力容疑者として特定されています。この人物は認証サービスへのアクセス権を持ち、退職後もアクセスキーを保持していたため、侵害が可能になったとされています。
法的に暗号化が義務付けられていないデータ
漏えいした情報は、韓国法における暗号化の義務対象ではありませんでした。現在、韓国の個人情報保護法では、クレジットカード番号などの決済データや住民登録番号のような固有識別情報にのみ暗号化を求めています。
氏名、住所、電話番号、メールアドレス、購入履歴といった情報は重要度が低いように見えるかもしれませんが、これらを組み合わせることでセキュリティリスクが生じ得ます。
購入履歴を分析すれば生活パターンや家族構成が明らかになり、個人の連絡先情報と結び付けられることで、スピアフィッシング攻撃や、場合によっては物理的な脅威につながる可能性があります。
さらに、このデータを過去に漏えいした決済情報と突き合わせることで、個人を正確に特定する再識別攻撃が可能になる恐れがあります。
エンタープライズ級暗号化ソリューションが必要な理由
この事件は、法的義務がない場合でもデータ暗号化の重要性を浮き彫りにしています。暗号化されていないデータは漏えいした瞬間に悪用可能になりますが、暗号化されたデータは復号鍵がなければ無価値のままです。
しかし、法的義務がない状況では、多くの企業が自主的な暗号化を優先しません。
データ侵害によるリスクを低減するには、信頼できるサイバーセキュリティベンダーによる実績ある暗号化ソリューションを導入する必要があります。Penta Securityは1997年の設立以来、データ保護の専門性を培い、データセキュリティ分野のグローバルリーダーとなっています。
2004年、Penta Securityは、暗号化、集中管理、独立した鍵管理システム(KMS)を提供するデータ暗号化プラットフォームD.AMOをリリースしました。
過去20年間で、D.AMOは主要金融機関、公共部門、大企業を含む1万社以上のエンタープライズ顧客に導入され、グローバルなサイバーセキュリティのリーダーとしての地位を確立しています。
D.AMOは、アプリケーションの改修を必要とせず、APIベース、プラグイン、カーネルレベル暗号化など複数の暗号化方式をサポートします。この柔軟性により導入を迅速化し、セットアップ期間を数か月から数日に短縮できます。また、アクセス制御、監査、監視といった統合セキュリティ機能も提供します。
暗号化による性能低下への懸念は自然ですが、現代の技術はこれを効率的に解決します。
例えばD.AMOは、データの機微度に応じたカラム単位の選択的暗号化を提供することで性能への影響を最小化し、組織のシステム環境のあらゆるレイヤーと互換性があります。
世論の反発の中、過去最高額の罰金が見込まれる
Coupangの侵害は、2,700万人が影響を受け、1,348億ウォンの罰金につながったSK TelecomのUSIMデータ漏えいを上回ります。
韓国の改正データ保護法の下では、罰金は年間売上高の最大3%に達し得ます。Coupangの場合、1,500億ウォンから最大1.2兆ウォンの範囲となる可能性があります。
侵害が公表されてからわずか2日後には集団訴訟の動きが始まり、関連オンラインフォーラムには20万人以上が参加しました。今回の侵害は外部からのサイバー攻撃ではなく、正当な認証情報の内部不正利用でした。
同社の検知までの期間が長かったことも、義務的な安全措置違反と見なされ、追加の制裁につながる可能性があります。
検証済みソリューションによるプロアクティブなセキュリティ
Coupangのデータ侵害は、暗号化要件の対象外の情報であっても、組み合わせることでリスクになり得ることを示しています。企業は、Penta Securityのような実績あるサイバーセキュリティプロバイダーの暗号化ソリューションを採用し、法的最低限を超えて顧客データを保護することを検討すべきです。
暗号化ツールに加えて、組織には集中管理と効果的な鍵管理システムが必要です。
約30年にわたる経験と継続的な開発により、Penta Securityはオンプレミスからクラウド、マルチクラウド、ハイブリッド環境まで、さまざまなITインフラ向けのサイバーセキュリティソリューションを提供しています。
さらに、Penta SecurityのD.AMOは、あらゆるデータタイプ(構造化・非構造化)を暗号化でき、OS、データベース、アプリケーションを含むITシステムの全レイヤーにわたって導入可能です。
Coupangの事例が示すように、同様のインシデントを防ぐため、組織は法的に義務付けられたデータにとどまらず暗号化を適用することで恩恵を得られる可能性があります。
