ゴルフ場から10万人の個人情報が流出——北朝鮮ハッカーの標的は、もはや「どこにでもある」

あなたが通う近所のゴルフ場が、国家規模のサイバー作戦の「踏み台」になっているとしたら——。

何が起きたのか

2026年4月26日、韓国・京畿道加平郡にあるLee & Lee Country Clubのウェブサイトがハッキングされ、約10万人分の顧客個人情報が流出したことが明らかになりました。流出したデータには、氏名、生年月日、性別、ユーザーID、パスワード、電話番号、メールアドレス、自宅住所が含まれています。

韓国警察庁がこの事案を捜査していますが、注目すべきはその発覚の経緯です。警察はもともと北朝鮮の主要ハッキンググループを捜査する過程でこの侵害を把握したといいます。捜査当局は、同ゴルフ場のサーバーがハッキンググループによって配布されたマルウェアに感染していたと見ています。

北朝鮮当局の下で活動するハッカーの数は、2024年時点で約8,400人と推定されています（韓国国防白書）。これは一つの国家が運営するサイバー部隊としては世界最大規模の一つです。

なぜ「ゴルフ場」なのか

一見すると奇妙に思えるかもしれません。なぜ国家レベルのハッカー集団が、ゴルフ場の顧客データに関心を持つのでしょうか。

その答えは、標的の「質」にあります。韓国でゴルフ場を利用する層は、企業経営者、政府関係者、軍関係者、そして外交官など、社会的影響力を持つ人々が多い傾向があります。つまり、ゴルフ場の会員データベースは、単なる個人情報の集合体ではなく、スピアフィッシング（標的型フィッシング）攻撃や、さらに大きなシステムへの侵入口となり得る「情報資産」として機能するのです。

広告

広告掲載について

[email protected]

広告

また、北朝鮮のサイバー作戦には二つの柱があると専門家は指摘します。一つは外貨獲得を目的とした暗号資産窃取（米当局は2025年に北朝鮮が盗んだ暗号資産が20億ドル超と推定）、もう一つは情報収集と諜報活動です。今回の事案は後者に近いと見られています。

「見えない戦場」の現実

この事件が日本の読者にとって対岸の火事でないことは、少し考えれば明らかです。

ソニーは2014年に北朝鮮によるとされる大規模なサイバー攻撃を受け、未公開映画や従業員の個人情報が流出しました。日本政府のサイバーセキュリティ機関（NISC）は近年、重要インフラへの攻撃リスクを繰り返し警告しています。そして日本においても、中小企業やサービス業者のセキュリティ対策の遅れは長年の課題です。

今回のケースが示すのは、サイバー攻撃の標的は「重要インフラ」だけではないという現実です。セキュリティ投資が限られた民間の余暇施設、医療機関、地方自治体——こうした「柔らかい標的」こそが、国家支援型ハッカーにとって侵入しやすく、かつ有用な踏み台になりえます。

日本でも2023年に名古屋港のランサムウェア攻撃、2024年には複数の自治体でのデータ侵害が報告されており、サイバー防衛の「穴」は確実に存在しています。

各ステークホルダーの視点

被害を受けた顧客の立場では、パスワードや住所といった情報が流出しているため、フィッシング詐欺や不正アクセスへの即時対応が求められます。しかし多くの場合、被害者は侵害の事実を遅れて知ることになります。

ゴルフ場などの民間事業者にとっては、セキュリティ対策のコストと、それを怠った場合の法的・社会的リスクのバランスが問われます。韓国では個人情報保護法に基づく制裁が強化されており、日本でも改正個人情報保護法のもとで企業責任は重くなっています。

一方、国際社会の視点から見ると、北朝鮮のサイバー活動は単なる犯罪行為を超えた地政学的問題です。国連安全保障理事会の制裁を受けながらも、サイバー空間での活動は実質的に制裁の「抜け穴」となっており、国際的な対応枠組みの限界を露呈しています。