ECクーパンの元社員による情報通信網侵害事故により、韓国で「マイ情報修正」ページに含まれていた会員の氏名やメールアドレスなど計3367万件の個人情報が流出したことが確認された。また、電話番号や住所などが含まれる「配送先一覧」は約1億4800万回閲覧され、共同玄関の暗証番号が残っていた「配送先一覧修正ページ」も約5万回閲覧されたことが分かった。
クーパンは改ざんされた「電子出入証」を十分に検証しないまま使用しており、退職者に対する署名キーも即時に更新されていなかった。このため、攻撃者は自身の署名キーをそのまま使って情報にアクセスできたとみられる。
科学技術情報通信省は10日、クーパン侵害事故に関する官民合同調査団の調査結果を発表した。同部は昨年11月30日に調査団を設置し、法と原則に基づいて被害状況や事故原因などを調査してきた。
調査団がクーパンのウェブ接続記録(ログ)を分析した結果、攻撃者は「マイ情報修正」ページの氏名・メールアドレス、「配送先一覧」ページの氏名・電話番号・住所・共同玄関暗証番号情報、注文履歴ページなどに不正アクセスし、情報を流出させた。
具体的には、氏名とメールアドレスを含む利用者情報3367万3817件が流出。さらに配送先一覧ページは1億4805万6502回閲覧され、このページには氏名、電話番号、配送先住所、特殊文字で非識別化された共同玄関暗証番号が含まれていた。
配送先一覧には、アカウント所有者本人だけでなく、家族や友人など第三者の氏名や連絡先、住所情報も多数含まれていたという。共同玄関暗証番号が含まれる修正ページは5万474回、最近注文した商品が表示される注文履歴ページは10万2682回閲覧された。
調査団はログなどを基に流出規模を算定しており、最終的な個人情報流出規模は今後、個人情報保護委員会が確定・公表する予定だ。
(c)news1