TokyoBlackHatNews

csoonline.com 5分で読了

韓国企業、データ侵害の開示不備をめぐり米投資家の訴訟に直面

連邦証券の集団訴訟は、EC大手がSECのサイバーセキュリティ規則に基づくデータ侵害の報告を怠ったと主張している。

米国の連邦証券集団訴訟は、韓国のEC大手クーパン(Coupang)が大規模なデータ侵害を規制当局に開示するまでに約1カ月を要し、重要なサイバーセキュリティ事案を4営業日以内に報告することを企業に求めるSEC規則に違反したと主張している。

12月18日に提起されたこの訴訟は、クーパンがようやく証券取引委員会(SEC)にフォーム8-Kの開示を提出した2日後に行われたものだ。侵害を11月18日に発見してから28日後のことだった。

訴状は、ボム・キムCEOとガウラブ・アナンドCFOが、元従業員が約6カ月にわたり検知されることなく顧客データにアクセスできたことを可能にした「不十分なサイバーセキュリティ・プロトコル」を、認識していたか、または無謀にも看過していたと主張している。クーパンによれば、この侵害により3,370万件の顧客アカウントの個人情報が流出した。

開示期限を逸脱

SECは2023年7月にサイバーセキュリティ開示規則を採択し、フォーム8-Kの項目1.05に基づき、重要性(マテリアリティ)を判断してから4営業日以内に重要な事案を開示することを企業に義務付けた。開示を遅らせられるのは、米司法長官がそれが重大な国家安全保障上または公共安全上のリスクをもたらすと判断した場合に限られる。

訴状は、クーパンがそのような免除を受けていないと主張している。同社は11月18日に侵害を発見したことを受け、11月24日までに提出すべきだったが、12月16日まで待ったという。

発見から開示までの間、報道により組織の混乱が生じた。クーパンの韓国事業のCEOであるパク・デジュン氏は、「事件と対応の両方について全面的に責任を負う」と述べた上で、12月10日に辞任した。クーパンの法務顧問兼最高管理責任者であるハロルド・ロジャース氏が、韓国子会社の暫定CEOに就任した。

クーパン創業者兼CEOのボム・キム氏は、業務上の都合を理由に、侵害に関する韓国国会の公聴会への出席を拒否した。議員らはこの判断を「組織的な企業責任の回避」だとして非難した。

従業員退職後も認証キーが無効化されないまま放置

韓国の国会議員チェ・ミンヒ氏の発言によれば、調査当局は、2024年に退職した元従業員が有効な認証資格情報を保持し続けていたことが侵害の原因だと特定した。この人物は43歳の中国籍で、認証管理システムに携わり、2022年11月にクーパンに入社していた。

国会の科学技術情報放送通信委員会委員長であるチェ議員は、11月30日のプレスリリースで分析結果を公表し、基本的なセキュリティ手順の不備を指摘した。同社は、従業員の退職時に、アクセス・トークンを発行するために用いられる暗号学的資格情報である署名キーを更新または無効化しなかった。

「長期間有効な認証キーを放置したことは、単に社内の一従業員による逸脱ではなく、認証システムを軽視してきたクーパンの組織的・構造的問題の結果だ」とチェ氏はプレスリリースで述べた。

クーパンが議員らに示した同社の情報によれば、同社はトークン署名キーの有効期間を5年から10年に設定しており、ローテーション期間はキーの種類によって異なっていた。

法曹関係者は、クーパンに対する訴訟は、SECの2023年サイバーセキュリティ開示ガイドラインへの準拠を直接争う証券集団訴訟として、最初期の事例の一つに見えると指摘した。

「新たなクーパン訴訟がとりわけ興味深い具体的理由は、訴えの主要な主張の一つが、同社がSECのサイバーセキュリティ開示ガイドラインに基づく必要な開示を行わなかったとされている点にある」と、法律誌The D&O Diaryは本件の分析で記した。

訴状はまた、クーパンが2025年8月および11月に提出した四半期報告書で、重要な虚偽の記載を行ったとも主張している。これらの報告書には、暗号化技術やセキュリティ対策を詳述した同社の2024年年次報告書のリスク開示が取り込まれていたが、訴状はそれらの記載が「重要なサイバーセキュリティ事象のリスクを実質的に過小評価していた」としている。

クーパンが最終的にフォーム8-Kを提出した際、同社はインシデント対応手順を起動し、不正アクセスを遮断し、韓国当局に事案を報告したと述べた。提出書類は、韓国の規制当局が「金銭的制裁を科す可能性がある」ことを認めつつ、損失を合理的に見積もることはできないとした。

韓国での規制当局による監視

韓国では、クーパンは個人情報保護法に基づき最大1.2兆ウォン(8億1,400万ドル)の罰金を科される可能性がある。同法は、侵害を発見してから24時間以内に規制当局へ通知し、適切な保護措置を維持することを企業に求めている。

韓国警察は捜査の一環として、クーパンのソウル本社を2度家宅捜索した。イ・ジェミョン大統領は集団訴訟制度の拡充を求め、人口5,170万人の約3分の2に影響した今回の侵害について「すべての韓国人が影響を受けた」と述べた。

訴訟は、8月6日から12月16日の間にクーパン証券を購入した投資家のクラス(集団)認定を求めている。複数の法律事務所が同様の請求について調査していると発表している。ケース管理会議は3月20日に予定されている。

翻訳元: https://www.csoonline.com/article/4111091/south-korean-firm-hit-with-us-investor-lawsuit-over-data-breach-disclosure-failures.html

ソース: csoonline.com
#Coupang #Form 8-K #SECサイバーセキュリティ開示規則 #インシデント開示遅延 #データ侵害 #個人情報保護法(韓国) #情報漏えい #規制当局の調査 #証券集団訴訟 #認証キー管理

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く