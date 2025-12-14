大規模ハッキング事件の頻発

「個人情報は公共材」という嘲弄混じりの冗談があるほど個人情報流出が頻繁な韓国で、史上最大の個人情報流出事件が発生した。韓国最大のEコマース企業「COUPANG（以下クーパン）」で3370万人余りの顧客の個人情報が流出したのだ。今年4月に発生したSKテレコム（以下SKT）の情報流出件数である2500万件を上回る規模だ。

韓国では今年、大規模なハッキング事件の発生が頻繁した。4月には韓国最大の移動通信会社であるSKTの顧客2500万人のSIMカード情報がハッカーによって流出された。正体不明のハッカーがSKTのサーバーにバックドアを設置し、2500万人の顧客のSIMシムカードを丸ごとコピーしていったのだ。

SIMカードの中には顧客の固有番号と端末固有番号、そして本人認証キーの3つの情報が入っていて、インターネット上の会員加入、ID探し、パスワード変更、決済などの時にSIMカード認証方法が最も多く使われる。IT専門家たちはデジタル身分証と呼ばれるSIMカード情報流出はデジタル上のなりすましを可能にすると警告し、国民の不安が高まった。

さらに、SKTが事件を認知してから2日も経ってやっと政府の関連機関に申告した点や、被害顧客への対応にも問題があった点などが続々と報道され、国民の怒りが激しくなり、数十万人の加入者が他の通信会社へ去っていった。社会的な波紋が大きく、SKTの経営陣はもちろん、SKグループの崔泰源（チェ・テウォン）会長まで国民の前に深く頭を下げ、政府はSKT側に歴代最大規模の1348億ウォン（約142億円）の課徴金を賦課することを決めた。

「事件の矮小化」と「遅い通報」

この事件以降、韓国社会ではIT企業の安逸なセキュリティ意識に対する警告の声が一層高まる中、8月には960万人の顧客を保有しているロッテカードで、「全顧客の3分の1」にあたる297万人の顧客情報が流出する事件が発生した。しかも、このうち28万人は住民番号や自宅住所や電話番号などはもちろん、オンライン決済時に使う有効期間、CVC情報(カード裏の3桁の数字)とパスワードまで流出されたことが確認され、顧客をパニックに追い込んだ。

ハッキング事件に常連として登場する「事件の矮小化」と「遅い通報」もまな板に載せられた。ロッテカード側は当初、「外部から誰かが1.7GB分量のデータ搬出を試みた痕跡を発見し、自主調査後主要情報の外部流出は確認されなかった」と明らかにした。しかし、金融当局の現場調査の結果、200GBの情報が流出し、被害顧客も300万人に迫るという事実が確認された。韓国政府はロッテ―カードに対し、新規営業停止6ヵ月と課徴金800億ウォンを賦課することを考慮していると伝えられている。

SKTハッキング事件の「漁夫の利」利益で新規会員が急増したライバル会社のKTでもハッキング事件が発生した。ソウルや首都圏に居住するKT利用者のうち、数百人が記憶にもないスマートフォンを利用した小額決済によって、お金が引き出されたのだ。同事件は、今年4月に日本で発生したフェムトセル（超小型基地局）ハッキング事件と同様の方法で行われた。犯人は中国人犯罪集団であることが明らかになった。 彼らは特定地域に不法基地局を設置した後、より強い電波を利用して周辺のKT加入者の電話を自分たちの通信網に接続させ、認証情報を盗み取った。

ところが、事件の調査過程でKTが、2024年3月から7月の間に多数のサーバーが悪性コードに感染した事実を認知しながらも、政府に申告せずに自主的に処理したという隠蔽疑惑がふくらんだ。感染したサーバーには加入者の氏名、電話番号、Eメールアドレス、識別番号などの個人情報が入っていたという。 しかもKTはサーバー汚染の可能性を提起したIT専門家の指摘直後にサーバーを廃棄し、警察が正式捜査に乗り切った。もしも警察捜査で隠蔽疑惑が事実であることが明らかになれば、莫大な社会的波紋を呼び起こすものと予測される。韓国政府は、官民合同調査団の調査が終わった後、KTに対して営業停止などの制裁措置や課徴金を検討するという立場を明らかにした。

5ヵ月間も把握できなかった

つい最近、3370万人の個人情報が流出したクーパンの場合は、上記の事件と比べても断然歴代級のハッキング事件だ。まず、被害者が3370万人という点で、韓国のハッキング事件史上最大規模になる。2024年の段階でクーパンの有料会員は約1600万人と知られているので、会員だけでなく一度でもクーパンを利用した経験がある人々の情報まで盗まれたという疑いが出ている。となると、クーパンは「一定期間が経過すれば、個人情報を廃棄しなければならない」という韓国報通信法に違反していた可能性が出てくる。

流出した個人情報の深刻性の面でも、断然最悪だ。顧客の名前、電話番号、Eメールアドレスだけでなく、最近の購買内訳と配送先の住所、共同住宅の場合は建造物のオートロックの共同玄関の暗証番号まで盗まれた。すでに中国のインターネット上ではクーパンの会員権が5000ウォン程度で売られているというニュースも出ている。

流出過程におけるセキュリティ管理のずさんさも明らかになった。クーパン側の主張によれば、今回の事件は「外部によるハッキングの試みはなく、海外サーバーを通じた非認可照会(接近権限のない企業の内・外部者の接近)による『情報露出』」が原因だという。「開発者として勤めていた中国人職員が退社後も認証トークンと署名キーを使用してサーバーに接近し、顧客の情報を引き出した」とクーパンは見ているらしい。 退社者の接近権限を抹消せずにそのままつかえるように放置していたという点は、韓国最大のIT企業としてありえない管理監督上の問題点を露呈したのだ。

さらに衝撃的なのは発見経緯だ。犯人と推定される人物が「情報を持っているので保安を強化せよ」という脅迫メールを顧客に送り、顧客がクーパン側に申告したことで、クーパン側はやっと事件を認知したという。犯人は今年の6月から5ヵ月にわたって顧客の情報を随時引き出していたが、クーパンのセキュリティシステムは５ヵ月間もこれを把握できなかったのだ。

クーパンは、2010年に設立された米国に本社を置く韓国最大のEコマース企業でニューヨーク株市場に上場している。24年度の売上総額は41兆ウォンで、韓国のデパート御三家（ロッテ、新世界、現代）の売上を合わせた金額よりも多い。韓国政府は「懲罰的損害賠償」の一環として売上の3%に当たる1兆3000億ウォン余りの課徴金をクーパンに賦課する方案を検討しているという。

それでも少ないセキュリティ投資

韓国を代表する大企業へのハッキング被害は、そのまま韓国国民にかかっている。ハッキング事件で直ちに被害がなくとも、あるかも知れない被害を防ぐために移動通信会社を変えたり、カードを解約したり、会員脱退をしたりしなければいけないからだ。しかし、結局はまた別の移動通信会社やカード会社、Eコマースに加入するしかない。スマートフォンやクレジットカード、オンラインショッピングを使えなくては現代社会で生きて行けないからだ。

SKT加入者であり、ロッテカード会員であり、毎日クーパンで日常品を買っている私は今年、3回にわたって、「お客様の個人情報が流出されました」という不気味な通知を受けた。だが、「どうせどこも同じ」と思い、会員脱退をせずにそのまま使用している。新しい移動通信やクレジットカード、オンラインショッピングを利用するためには、再び個人情報を入力しなければならないからだ。

私のようなめんどくさがりの消費者の習性をよく知っているためか、社会を揺るがせるほどの大規模のハッキング事件が繰り返されているさなかでも、韓国の大企業はセキュリティにあまりにも投資いない。

