科学技術情報通信部は10日、Coupangの情報漏えい事故を巡る官民合同調査団の調査結果を公表した。氏名とメールアドレスの流出は計3367万3817件に上り、配送先一覧ページは約1億4805万6502回閲覧された。原因については、利用者認証システムの設計・開発に携わっていた元開発者が、在職中に持ち出した署名鍵を退職後に悪用し、「電子出入証」を偽造して不正接続したことが確認された。

流出規模は、Coupangが当初届け出た4536件の約6600倍に達した。Coupangは昨年11月16日、利用者から個人情報漏えいが疑われるメールに関する問い合わせを受け、翌17日に社内調査で侵害事故を把握した。その後、11月19日に韓国インターネット振興院（KISA）へ、4536アカウント分の情報が流出したとして届け出たが、KISAの現地調査で被害が3000万件超に及ぶことが判明した。

調査団は、2024年11月29日から2025年12月31日までに保存されたCoupangの接続ログ6642億件、計25.6TB分を分析した。これと並行して、攻撃者のPCストレージと、在職中のCoupang開発者が使用していたノートPCのフォレンジック調査も実施した。

その結果、攻撃者は昨年4月14日から11月8日にかけて、「マイ情報」修正ページを通じて氏名とメールアドレス計3367万3817件を流出させたことが分かった。配送先一覧ページは計1億4805万6502回閲覧され、氏名、電話番号、住所に加え、特殊文字でマスキングされた共同玄関の暗証番号も含まれていた。

また、配送先情報の修正ページは5万474回閲覧され、ここでは共同玄関の暗証番号がマスキングされていない状態で表示されていた。注文一覧ページも10万2682回閲覧された。最終的な個人情報漏えい規模は、個人情報保護委員会が確定する予定だ。

攻撃者は、Coupang在職時に利用者認証システムの設計・開発を担当していたバックエンド開発者だった。在職中に管理していた署名鍵を持ち出し、退職後にこれを使って「電子出入証」を偽造・改ざんしていた。

通常、利用者はログイン手続きを経て「電子出入証」の発行を受け、Coupangのゲートウェイサーバーによる検証を通じてサービスに接続する。これに対し、攻撃者は偽造した「電子出入証」を使うことで、正規のログインを経ずにCoupangのサービスへ不正に接続していたという。

攻撃者は今年1月5日から20日にかけて攻撃テストを実施した後、4月14日から自動化したWebクローリングツールを用いた大規模攻撃に移行した。この過程で使われたIPアドレスは計2313件だった。

調査団は、Coupangのセキュリティー体制にも複数の問題があったと指摘した。正規に発行された「電子出入証」かどうかを検証する仕組みがなく、ペネトレーションテストで脆弱性を把握していながら、全般的な改善措置を講じていなかった。

社内規定では署名鍵は「キー管理システム」でのみ保管すべきだったが、実際には在職中の開発者のノートPCに保存されていた。鍵の発行履歴を管理する体制もなく、開発者の退職後も署名鍵を直ちに更新していなかった。

さらに、同一のサーバーユーザー識別子が繰り返し使われても、また偽造された「電子出入証」による異常な接続が発生しても、検知・遮断できていなかった。

法令違反も確認された。Coupangは、情報保護最高責任者に報告した時点の昨年11月17日午後4時から24時間を超過し、11月19日午後9時35分になってKISAへ届け出た。情報通信網法では、侵害事故を認知してから24時間以内の届け出を義務付けており、科学技術情報通信部は3000万ウォン以下の過料を科す方針だ。

資料保全命令違反も明らかになった。科学技術情報通信部は11月19日午後10時34分に資料保全を命じたが、Coupangが自動ログ保存ポリシーを調整しなかったため、昨年7月から11月までの約5カ月分のWeb接続ログが削除された。アプリケーション接続ログも、昨年5月23日から6月2日までのデータが消去されており、同部は捜査機関に捜査を依頼した。

科学技術情報通信部は、Coupangに対し再発防止策の履行計画を今月中に提出するよう求める。あわせて、3月から5月にかけて履行状況を点検する方針だ。