韓国のOTTサービス「Tving」で会員の個人情報が漏えいし、連携情報（CI）や重複加入確認情報（DI）まで流出した可能性が浮上している。CIは複数サービスで本人確認に用いられる固有情報で、専門家の間では、なりすましなど二次被害につながるおそれを指摘する声が出ている。関係当局は今回の事案を重大事故と判断し、原因究明と被害規模の把握を進めている。

Tvingと関係業界によると、何者かが最近、Tvingの利用者個人情報データベース（DB）に不正アクセスし、顧客情報ファイルを外部に送信した。漏えいした項目には、会員IDのほか、生年月日、性別、携帯電話番号、メールアドレス、返金用口座番号、パスワード、CI、DIなどが含まれる。

Tvingは今月1日に事案を把握した後、政府への届け出を行うとともに、攻撃元IPアドレスの遮断、クラウドのアクセス制御ポリシー変更、DB接続モニタリングの強化などの対応を取った。

◆CI流出でなりすまし懸念

特に懸念が強いのは、機微性の高いCIが漏えい項目に含まれている点だ。CIはオンライン本人確認の過程で同一人物を識別するために使われる固有値で、住民登録番号を直接用いずに、複数のサービスで同一利用者かどうかを確認できる情報とされる。

問題は、CIがパスワードのように利用者側で容易に変更できないことにある。セキュリティ業界では、今回の事案が単なるアカウント情報の漏えいにとどまらず、長期的な個人情報侵害リスクに発展する可能性があるとみている。

CIだけで直ちに料金決済や金融口座開設の被害が発生するわけではないが、他の個人情報と組み合わさることで、攻撃者が特定個人の識別や追跡に悪用する余地があるためだ。

トングク大学国際情報保護大学院のファン・ソクジン教授は「CIは本人確認機関が実名情報を基に生成する固有識別値で、他サイトや他サービスでも同一人物かどうかを確認する際に使われる」と説明した。その上で「氏名、携帯電話番号、メールアドレスなどと結び付けば、なりすましにつながりかねない非常に機微な情報だ」と指摘した。

さらに同教授は、「攻撃者が追加情報を組み合わせれば、ボイスフィッシングやスミッシングも、不特定多数向けではなく特定個人を狙う形に高度化する可能性がある」とした上で、「事故の状況や被害規模を綿密に点検する必要がある」と述べた。

◆当局も「重大事故」と判断

科学技術情報通信部と韓国インターネット振興院（KISA）は今月1日、Tvingから侵害事故の届け出を受けた直後、関連資料の保全を要請し、原因と被害規模の調査に着手した。今月3日には調査審議委員会を緊急開催し、今回の事案は重大事故に当たると判断して、官民合同調査団を立ち上げた。

調査団には、科学技術情報通信部とKISAに加え、フォレンジックやクラウドサービス分野の民間専門家が参加する。ハッカーの侵入経路、個人情報の漏えい規模、Tvingの技術的・管理的保護措置の妥当性などを点検する方針だ。

特に、CIを含む高リスク情報がどのように保存・管理されていたか、暗号化やアクセス権限の統制が適切だったかが主要な調査項目になる見通しだ。

個人情報保護委員会も調査に入った。Tvingから今月3日午前2時に漏えい申告を受理し、今月4日に調査を開始した。

資料提出の要求や現地調査を通じて、具体的な漏えいの経緯や被害規模のほか、安全措置義務、漏えい通知・申告義務など、個人情報保護法の順守状況を確認する。個人情報保護委員会は「法令違反が確認された場合は、関連法令に基づいて厳正に処分する方針だ」としている。

放送メディア通信委員会も今月4日、Tvingに対する緊急実態点検を始めた。CIの流出を巡っては、先に発生したLotte Cardのハッキング事案でも争点となっていた。

放送メディア通信委員会は4月、Lotte CardがCIの安全措置義務に違反したと判断し、過料1125万ウォンと改善勧告を議決した。Lotte Cardの事案で漏えいしたCIは約129万人分とされる。

Tvingの加入者数は約500万人と推定されており、Lotte Cardの事案を上回る規模のCIが流出した可能性も否定できない。Tvingは、正確な漏えい規模を確認しているとしている。

◆事後対応だけでは限界、経営陣の認識転換も課題

セキュリティ業界では、相次ぐハッキング事案に対し、場当たり的な事後対応にとどまってはならないとの指摘が出ている。事故発生後に調査や制裁、再発防止策を打ち出すだけでは、被害拡大の防止には限界があるという見方だ。

特にOTTのようなプラットフォームサービスは多様な個人情報を保有しているため、暗号化、アクセス権限の統制、異常兆候の検知体制を常時稼働させる必要があるとされる。

アジュ大学元サイバーセキュリティ学科教授のパク・チュンシク氏は「何よりも経営者のセキュリティ意識を高める必要がある」と述べた。その上で「政府も規制だけでなく、企業による先制的なセキュリティ強化の取り組みを支援する政策を積極的に並行して進めるべきだ」と語った。

一方、Tvingはチェ・ジュヒ代表名義の謝罪文を通じ、徹底した後続対応を約束した。チェ代表は「利用者が信頼して預けた情報を守れなかった責任は全面的にTvingにある」とした上で、「進捗状況と後続措置を透明に公表し、被害救済と利用者保護に責任を持って対応する」と表明した。