CJ ENMのオンライン動画サービス(OTT)ティービングで、会員の個人情報が外部に流出するハッキング被害が発生した。
氏名・生年月日・CI・返金口座まで漏えいし、一部のみ暗号化されていた。
KISAと個人情報委員会が合同調査に着手し、「同じパスワードの変更」を呼びかけている。
同じID・パスワードを別のサイトでも使っている利用者は、直ちにパスワードを変更するのが安全だ。
会員数が数百万人にのぼる国内代表の映像プラットフォームで、個人情報が丸ごと流出した。視聴履歴を超え、本人を識別する核心情報まで漏えいし、利用者の二次被害への懸念が高まっている。
ティービング(TVING)は3日、ホームページでの告知を通じて、会員個人情報が外部に流出した兆候を確認したと明らかにした。会社は「6月2日、利用者の個人情報を保存するデータベース(DB)への非認可アクセスがあった」とし、「身元不明のハッカーが個人情報が保存されたDBに接続し、個人情報ファイルを外部へ転送したことを確認した」と説明した。
◆ 何が漏えいしたのか
流出した情報は、IDと氏名、生年月日、性別はもちろん、本人確認に使われるCI・DIまで含まれていた。CIは住民登録番号の代わりに複数のサイトで同一人物であることを識別する固有番号で、DIは特定サイト内で重複登録を防ぐ値だ。一度決まると簡単には変更できず、電話番号やメールアドレスが漏えいするよりも危険性が高い。
一部の項目は暗号化されていた。携帯電話番号は末尾4桁、メールアドレスはドメインを除いた前半部分が暗号化処理されていた。返金口座番号も暗号化された状態だった。パスワードには、元の値に戻しにくい「一方向暗号化」方式が適用されていた。ただし、暗号化が安全を完全に保証するわけではない。氏名や生年月日、性別のようにそのまま露出した項目だけでも、精巧ななりすましが可能だからだ。
これらの情報が組み合わさると、リスクはさらに増す。実名と生年月日、連絡先を組み合わせて作った偽の案内メッセージや電話は、はるかにそれらしくなる。フィッシングやスミッシングの成功率を高める材料になり得るのだ。
◆ 再利用パスワードのほうが危険だ
今回の事故で、実際に警戒すべき点はパスワードの再利用だ。一方向暗号化が施されていても、同じIDとパスワードを別のサイトでも使っているなら話は別である。
一つの場所から漏れたアカウント情報を他サイトに無差別に投入して侵入を試みる手口は、よくあるものだ。ティービングが「同一のアカウント情報を使用するティービングおよび他サービスのパスワード変更を推奨する」と呼びかけた理由もここにある。
会社は流出を把握した直後に対応に乗り出した。攻撃者のIPからのアクセスを遮断し、クラウドアクセス制御ポリシーを変更した。DB接続の監視も強化した。追加被害の拡大を防ぐためのセキュリティ点検とともに、被害救済のためのカスタマーセンターも運営している。
通報手続きも進めた。ティービング側は「事態把握後、迅速にKISA(韓国インターネット振興院)と個人情報保護委員会に通報し、現在合同調査中だ」とし、「政府および関係機関の調査に誠実に協力し、再発防止対策の策定に最善を尽くす」と明らかにした。
会社関係者は「お客様にご心配をおかけしたことを心よりお詫び申し上げる」とし、「確認される事実は透明に公開する」と述べた。
◆ 利用者が今すぐすべきこと
専門家は、流出通知を受けた利用者であれば、時間を置かないことを勧めている。ティービングのパスワードを変更するのが基本で、同じパスワードを使っていた他のサイトのパスワードも併せて変更するほうが安全だ。
出所が不明なSMSやメールのリンクは開かず、自分を装った金融機関や公的機関からの連絡にも注意を払う必要がある。
プラットフォーム企業の個人情報流出は、もはや珍しい事件ではない。加入者が増え、扱う情報が多くなるほど、攻撃の標的になる頻度も高まる。
今回の事故が単発の謝罪と点検で終わるのか、それとも保管情報の最小化とアクセス権限の緻密な管理へとつながる構造改善に発展するのかが焦点だ。合同調査の結果と今後の対策が、その分岐点になる見通しである。