クーパンの情報漏えい:事件の内側
クーパンが関与する情報漏えいの最近の進展として、元従業員が足取りを隠すために過激な手段に出た。12月25日に同社が更新した内容によると、当該人物はMacBook Airを破壊し、川に投棄したという。
漏えい発覚後に広がる動揺
報道機関が情報漏えいについて報じ始めたことで、容疑者とされる人物に切迫感が生じたようだ。クーパンの更新情報によれば、当該人物はノートPCを破壊した経緯を共有しており、レンガと一緒にキャンバスバッグに入れて水中に投げ捨てたという。
クーパンはダイバーと協力し、従業員の説明に基づいてノートPCを回収することができた。回収時、ノートPCは本人が説明したとおりのバッグの中にあり、さらに彼のiCloudアカウントに紐づく一致するシリアル番号も確認された。
捜査のさなかの顧客への安心提供
こうした展開を受け、クーパンは自社プラットフォームで顧客に安心を呼びかけた。同社は、漏えいを捜査する当局に全面的に協力することを約束している。また、顧客の信頼回復を目的に、影響を受けた利用者へ1人あたり約35ドル(5万ウォン)相当のバウチャーで補償する計画も発表した。
漏えい規模:当初想定より小さい
クーパンの更新情報は、漏えい規模の明確化を目的としていた。初期報道では3,300万人超の利用者データが侵害された可能性が示され、これが同社CEOの辞任につながったが、その後の調査で、元従業員が実際にアクセスしたのは限られた数のアカウントだったことが判明した。同社は、従業員が3,300万アカウントのデータにアクセスした一方で、保持していたのは約3,000人分のデータのみで、後に削除したと説明した。
侵害されたデータの内容
保持されていたデータには、氏名、メールアドレス、電話番号、注文履歴の一部といった具体的な情報が含まれていた。合計で、クーパンは2,609件の建物入口コードがアクセスされた情報に含まれていたと報告している。重要な点として、金融情報、ログイン認証情報、個別の通関番号は侵害されていない。クーパンは、この事件で第三者へデータが移転された事実はないと強調した。
徹底した調査を行うため、クーパンはMandiant、Palo Alto Networks、Ernst & Youngなどの専門企業と提携した。
加害者の自白
クーパンは、「デジタル指紋」やその他のフォレンジック証拠を用いて、責任者とされる人物を特定したと述べた。元従業員は自白し、利用者データにアクセスした方法を正確に説明したという。彼は在職中に持ち出していた社内セキュリティキーを使用し、3,300万アカウント超にわたる「基本的なユーザーデータ」へアクセスした。
同社は、自社の調査結果が元従業員の供述と一致していることを改めて示し、漏えいは懸念すべきものではあるが、当初報じられたほど深刻ではなかったと顧客に安心を促した。クーパンは、フォレンジック証拠が加害者の主張と整合していることを強調し、調査中に矛盾する証拠は見つからなかったとも述べた。
アクセス経路と追加の判明事項
容疑者とされる人物は、個人用デスクトップPCとMacBook Airの両方を使ってクーパンのシステムにアクセスしたことを認めており、独立したフォレンジック調査でも、侵害に関与した主要デバイスがこの2台であることが確認された。元従業員はまた、自身のPCと4台のハードドライブを提出しており、そこには攻撃に使用されたスクリプトが含まれていた。
これらの事実が明らかになる中、クーパンはこの不穏な出来事の余波において、透明性を維持し、顧客に安心を提供しようとしている。同社は、セキュリティ強化と将来の再発防止に向けた対策を実施することを約束している。
