最近、韓国の大手ECプラットフォーム「クーパン(Coupang)」で発覚した大規模個人情報流出は、事態の深刻化とともに、同国のデジタル社会全体を揺るがす構造的リスクへと転化しつつある。
流出したとみられる顧客情報は約3000万人から3370万人の規模。韓国のオンライン消費行動のほぼ全域が「可視化」されてしまったとの指摘すら出ている。
とりわけ衝撃的なのは「中国の闇市場で韓国人名義のクーパンアカウントが売買されているのではないか」という疑惑である。現時点で公式には確認されていないものの、韓国のセキュリティ関係者は、電話番号や住所、メールアドレスと結びついたアカウント情報が海外に流出した可能性を指摘する。
仮に、アカウントそのもの、あるいはログイン認証情報が「パッケージ」化されて売買されているならば、被害は迷惑電話やスパムメールの域を超えてしまう。購入履歴や配送先を把握された被害者は、成りすまし注文や他サービスへの「認証使い回し攻撃」を受けやすくなる。もはや個々人の問題ではなく、国家規模のセキュリティインシデントに近い。
1人の元内部開発者によって破られた
流出した情報には、氏名や電話番号、住所やメールアドレスなど、フィッシング攻撃に直結しうる基本属性が含まれていた。
韓国メディアの報道によれば、容疑者はクーパンの元中国籍開発者で、退職後に中国国内から、在職中に取得した認証トークンを悪用して147日間にわたりデータを引き出した疑いが持たれている。
社内権限管理やアクセス監視が機能していなかった可能性も指摘され、「国民的プラットフォーム」がたった1人の元内部開発者によって破られたとの批判が高まっている。
こうした状況に追い打ちをかけているのが、「国税庁からの税金通知」を装ったマルウェア付きメールだ。韓国のセキュリティ企業は、「国税告知書.pdf(tax_notice).zip」といったファイル名で配布されるマルウェア「KimJongRAT」が出回っており、北朝鮮のハッキンググループ「キムスキ(Kimsuky)」との関連が疑われるとの警告を発している。
過去にも、北朝鮮系とされる「Konni」グループが、国税庁の郵便物通知を装うスピアフィッシング攻撃を行い、納税者の不安心理を突いてマルウェアを実行させるという巧妙な手口も確認されている。韓国では年末に税金関連文書が集中するため、このタイミングを狙った攻撃は「社会工学的な精度」が高いと専門家は見ている。
