WorldVoice
「韓国のアマゾン」クーパン、国民の6割相当の大規模情報流出 ── 中国闇マーケットで大量販売
2025年12月8日(月)16時50分
「鍵を無限生成」元中国人社員の犯行手口
12月4日、民主党の崔敏姫(チェ・ミンヒ)議員の調査によって、容疑者の詳細が明らかになった。中国国籍のこの元社員は2024年12月に退職したが、退職から約半年後の2025年6月24日から、クーパンの個人情報に不正アクセスを開始したとみられている。
高麗大学の金承周(キム・スンジュ)教授は12月2日の国会質疑で、この仕組みを分かりやすく説明した。「ホテルに入る時、身分証明書で本人確認をした後に部屋の鍵をもらう。その部屋の鍵を発行する秘密のパスワードを、内部の開発者が持ったまま退職した状況だ」「ホテルの部屋の鍵を無限に生成して顧客情報を抜き取ったと見ることができる」
技術的には、サーバーにログインする際に使用される「アクセストークン」を生成するための「署名鍵」が問題の核心だ。通常、トークンは生成後1時間以内に廃棄されるが、署名鍵を持っていれば、このトークンを自由に生成できる。クーパンは退職した社員の署名鍵を削除または更新せず放置していたため、元社員は退職後もクーパンのサーバーに自由にアクセスできたというのだ。
金銭要求なしの脅迫メール──産業スパイの疑惑
11月28日、クーパン本社のカスタマーセンターに脅迫メールが届いた。メールには「会員の個人情報を確保している」「セキュリティを強化しなければメディアに流出事実を公表する」といった内容が含まれていたが、奇妙なことに金銭を要求する文言は一切なかった。
国民の力の柳永夏(ユ・ヨンハ)議員は12月3日の国会政務委員会質疑で「クーパンの流通情報を中国企業が持っていけば、韓国の流通網は一瞬で崩れる可能性がある」と懸念を表明した。顧客の購入パターンや配送情報などが競合他社に渡れば、クーパンのビジネスモデルそのものが脅かされる可能性がある。
金承周教授はCBSラジオに出演し、「クーパン内部では、中国人開発者が解雇されることになって恨みを抱いてやったという話が出ている」と伝えた。解雇に対する個人的な恨みが動機だった可能性も指摘されている。
中国ブラックマーケットで大量販売
そして12月3日、さらに衝撃的な事実が明らかになった。中国最大のECプラットフォーム「タオバオ(淘宝網)」で、韓国人名義のクーパンアカウントが23元から188元(約470円から3900円)で販売されていることが確認されたのだ。中国人と推定される販売者たちは「認証済みアカウントで、すぐに送ることができる」と客引きをしていた。
これは「ログイン情報は流出していない」というクーパン側の公式見解と矛盾する。金承周教授は「内部管理が甘くIDとパスワードが一緒に流出したのなら、販売されているアカウントが流出物であるシナリオも十分可能だ」と指摘している。
問題はクーパンだけではない。中国国内のアカウント取引専門サイト「77GAME」などでは、ネイバーやダウム(Daum)など韓国の主要ポータルサイトのアカウントが組織的に販売されている。ネイバーアカウントは1つ当たり29.99元(約620円)で「在庫あり」の状態だった。
さらに衝撃的なのは、このサイトが単なる販売を超えて、アカウントの「生存率」を高めるための綿密な行動指針まで購入者に提供していることだ。販売ページには「購入後、汚染されたIPでログインしないこと」「購入後すぐにパスワードと復旧用メールを変更すること」などの具体的な指示が記載されていた。
このサイトでは「黒貨号(黒化号)」という用語を使用している。これは中国の闇市場で通常「出所が不明または盗んだアカウント」を意味する隠語だ。販売者が「大量購入時は異なるデバイスから分散ログインせよ」と明記している点から、スパム送信や世論操作のためのアカウントとして使用される可能性が指摘されている。
政府認証取得後も4度目の情報流出
クーパンは政府の情報保護認証「ISMS-P認証」を2021年3月と2024年3月に取得していた。だが認証取得後も、クーパンでは情報流出事故が続発。2021年10月、2020年8月から2021年11月、2023年12月と事故が相次ぎ、今回が4度目だ。これまでに合計16億ウォン(約1億6000万円)の課徴金を科されている。
KISAの情報保護公示によれば、クーパンのセキュリティスタッフは約200人でネイバー(約130人)、カカオ(約90人)より多い。しかし、売上が毎年約10兆ウォンずつ増加する中、情報保護投資比重は減少。IT投資1兆9171億ウォンのうち情報保護は890億ウォン(4.6%)で、業界平均(6.28%)を下回る。
個人情報保護委員会の宋景熙(ソン・ギョンヒ)委員長は「ISMS-P認証企業263社のうち27社で33件の個人情報流出事故が発生した」との指摘に対し「不足な点が多い」と認め、「予備審査制度の導入と現場審査の拡大などを検討している」と述べた。
