クーパン史上最大のデータ漏洩、政府発表は当初報告の1万倍超

3000人から3360万人へ。韓国のEコマース大手クーパンが昨年11月に発表したデータ漏洩事件の被害規模が、政府の合同調査により当初報告の1万倍以上に膨れ上がったことが明らかになった。

「管理の問題」が招いた大規模漏洩

韓国科学技術情報通信部は2月10日、クーパンのデータ漏洩事件に関する合同調査結果を発表した。調査チームは25.6テラバイトのウェブアクセスログを分析し、3367万人のユーザーの氏名とメールアドレスが漏洩していたことを確認した。

漏洩の手口は意外にも単純だった。ハッカーはクーパンの認証システムの脆弱性を突き、デジタル認証パスを偽造して正常な認証手続きを迂回したのだ。「これは洗練された攻撃ではなく、明らかに管理の問題だった」と、同部サイバーセキュリティ局のチェ・ウヒョク局長は説明している。

企業の対応に厳しい視線

問題となっているのは漏洩の規模だけではない。クーパンは11月17日午後4時に漏洩を認識したにもかかわらず、当局への報告は19日午後9時35分まで遅れた。法律で定められた24時間以内の報告義務に違反したのだ。

さらに深刻なのは、同社が当初「3000件程度のアカウント情報が漏洩」と発表し、実際の被害規模を大幅に過小評価していたことだ。韓国政府は「悪意的で根拠のない一方的な主張」と厳しく批判している。

クーパン側は「攻撃者がウェブサイトを閲覧しただけで、情報が盗まれた証拠はない」と反論しているが、1億4800万回ものアクセスが記録されており、配送先住宅の共用玄関パスワードまで閲覧されていた事実は重い。

日本企業への教訓

韓国の人口5200万人の約3分の2に相当する規模の個人情報漏洩は、隣国日本の企業にとっても他人事ではない。特に、オンライン配送サービスを展開するアマゾンジャパンや楽天、ヤマト運輸などの物流企業は、同様のリスクを抱えている。

日本では個人情報保護法の改正により、企業の報告義務と罰則が強化されているが、今回の事件は「初期対応の透明性」の重要性を浮き彫りにした。企業が被害規模を過小評価して発表することで、かえって信頼失墜と法的リスクを招く可能性がある。

アジア市場での信頼回復は可能か

クーパンは米国ナスダック上場企業として、韓国だけでなく日本進出も検討していた企業だ。しかし今回の事件により、アジア市場での事業拡大戦略に大きな影を落とすことになった。

韓国政府はクーパンに対し3000万ウォン（約206万円）以下の罰金を科す予定で、6月から7月にかけて再発防止策の実施状況を検査するとしている。しかし、失われた消費者の信頼を回復するには、罰金以上の代償が必要となるだろう。