TokyoBlackHatNews

databreachtoday.com 4分で読了

侵害を受けたEコマース大手、10億ドル規模の「顧客信頼」計画を詳細説明

Breached E-Commerce Giant Details $1B 'Customer Trust' Plan

韓国最大のオンライン小売業者であるCoupangは、大規模なデータ侵害を受けた後、「顧客の信頼を回復する」計画の一環として、12億ドル相当のクーポンを配布する予定だと述べた。批評家らは、同小売業者でしか利用できないこれらのクーポンを、真の補償ではなくマーケティング戦略だとして一蹴している。

この侵害により、人口5,200万人の国で3,370万人の顧客に関する個人情報が露出した。このセキュリティ事件は、かつて開発者として雇用されていた中国籍の人物に関連付けられており、盗まれた情報を漏えいしないという約束と引き換えに見返りを要求するまで、データ窃取が発覚しなかった(参照: 韓国のEコマース大手Coupang、大規模侵害を調査)。

捜査当局によると、漏えい者はその後ノートPCを破壊し、川に投棄して韓国から逃亡した。

韓国で創業し、現在はシアトルに本社を置く上場企業Coupangは、2025年11月18日に侵害を初めて把握し、直ちにMandiant、Palo Alto Networks、Ernst & Youngを雇って侵害対応を行ったと投資家に伝えた

同社は2025年11月29日に侵害を初めて公に認め、韓国政府と連携していると述べた。Coupangは先月12月2日から「ほぼ毎日」政府と協力して漏えい者を特定し連絡を取ったと述べた。同社は「漏えい者の全面自白」を確保するとともに、複数のコンピューティング機器とハードドライブを押収し、分析したうえで政府に提供し、政府側のデジタル・フォレンジック調査に供したという。

回収されたハードウェアには、漏えい者のWindowsデスクトップPCと4台のハードドライブ、さらに「近くの川から回収された漏えい者のMacBook AirノートPC」が含まれていた。漏えい者は、侵害のニュースを見てパニックになり、MacBookを叩き壊してレンガで重しをしたCoupangの袋に入れ、川に投げ捨てたと捜査当局に語った。捜査当局は、そのノートPCのシリアル番号を漏えい者のiCloudアカウントと照合したという。

捜査当局は、攻撃に使用されたスクリプトを本人のWindows PCから回収し、盗まれたデータはそのシステムとAppleのノートPCに移された以外には、移動していないように見えると述べた。

デジタル・フォレンジック調査に基づき、漏えい者は盗まれたセキュリティキーを用いて3,300万件の顧客アカウント詳細にアクセスしたが、保持していたのは約3,000人分のデータと2,609件の建物入館コードのみだった。露出した情報には氏名、メールアドレス、配送先住所、電話番号が含まれるが、決済カード情報、ログイン情報、注文番号は含まれていなかった。

Coupangは、これらの所見は、単独で犯行に及び、盗んだデータはすべて削除し、他者と共有していないと主張する漏えい者の宣誓供述書とも一致すると述べた。

2010年に創業したCoupangは、しばしば「韓国のAmazon」と評され、人気のロケット配送サービスを運営している。6月30日時点で同社は、アクティブ顧客数が2,470万人で、前年同期比10%増だったと報告した

同社は、侵害対応を批判する声に反論している。「Coupangは常に政府の命令に従い、作戦を機密に保ち、詳細を一切開示しなかった。にもかかわらず、政府機関、国会、そして一部メディアが、Coupangが漏えいに真剣に対処していないと虚偽の非難を行った」と同社は述べた。

この侵害により、Coupangの韓国子会社のCEOが12月10日に辞任し、親会社の法務顧問兼最高管理責任者であるHarold L. Rogersが暫定CEOとして就任した(参照: 侵害まとめ: Coupang侵害が経営陣の刷新を引き起こす)。

侵害に関する議会公聴会の開始前日、同社は先週、顧客補償計画を発表した。これは、昨年11月に通知した影響を受けた3,370万人の顧客それぞれに、1人当たり35ドル相当、合計12億ドルとなる4種類のクーポンを配布するものだ。

クーポンの内訳は次のとおり。

  • Coupangの任意の商品に使える3.50ドル分
  • 同社の配達サービス「Coupang Eats」に使える3.50ドル分
  • 旅行サイト「Coupang Travel」に使える14ドル分
  • 高級ビューティー・ファッション商品プラットフォーム「R.LUX」に使える14ドル分

Coupangは、クーポンは1月15日から受け取れるようになり、取得方法についてはSMSで顧客に直接通知すると述べた。

この補償計画の批判者には韓国消費者団体協議会が含まれ、同計画を「プライバシー侵害に対する補償ではなく、消費者に追加購入や再加入を促すためのマーケティング手段だ」と評した。

同社が「謝罪」と称するものに対する具体的な不満の一つは、金額の大きい2つのクーポンが、さらに多額の支出なしには利用できない点だ。韓国語紙の朝鮮日報は、同社の旅行サイトで最も安い商品でも約222ドルの価格帯だと報じた

翻訳元: https://www.databreachtoday.com/breached-e-commerce-giant-details-1b-customer-trust-plan-a-30440

ソース: databreachtoday.com
#Coupang #Eコマース #インシデント対応 #サイバーセキュリティ #データ漏えい #デジタルフォレンジック #個人情報保護 #内部不正 #韓国 #顧客補償

関連記事

Microsoftがランタイムセキュリティを強化

Google、防衛産業に対する「容赦ない」サイバー攻撃について警告

請求サービス企業が医療検査機関の患者にハッキング被害を通知