[25_12_01]Zero-Trustの重要性：クーパングの事例から学ぶ「認証管理」の危険性

つい先日、韓国で運営される最大級の物流サービスのクーパング(Coupang)のデータが

流出したことが公式に認定されました。

被害規模は3370万人のメール、購入履歴、名前、電話番号などの流出です。

取材によると、原因は6ヶ月前から元職員（認証系業務担当）が海外からメインサーバーへ

アクセスをしてきたことだと把握されています。

その後クーパングの提出した資料を確認した科学技術情報通信部の公式発表によると、

調査中に確認された技術的な原因はクーパングのサーバーの認証の脆弱性を悪用して

非正常ログインを通じて行われたといいます。

（リンク：https://www.msit.go.kr/bbs/view.do?sCode=user&mPid=208&mId=307&bbsSeqNo=94&nttSeqNo=3186554）

この件で科学技術情報通信委員長の崔敏姬（Choi Min-hee）は

「署名キーの更新は最も基本的な内部セキュリティの手続きなのにもかかわらず、
クーパングはこれを守らなかった。」

「長期有効認証キーを放置したことは単に内部職員の逸脱でなく、
認証体系を放置したクーパングの組織的・構造的な問題の結果。」

と強く批判しました。

クーパングは悪用された認証キーの有効期限については答えませんでした。





トークンは署名キーで有効性が証明されます。

ここでトークンは身分証、署名キーは偽造判別の装置です。

仮に偽造した身分証を用いて区役所で行政業務をしようとするAがいると、

区役所窓口の職員はその身分証が本当に政府から発行されたか判別します。

しかし、もしAが政府発行の身分証と完璧に同じような身分証の作り方を知っているとすれば、

職員は偽造判別ができずそのまま欺かれます。

認証系の業務担当だった元職員は署名キーを持って退職し、

外部からそのキーを持って偽造したトークンを発行しました。

故に容易くアドミニストレーターの権限を乗っ取ることができました。

結果、3370万人の個人情報が漏れてしまったのです。





では、安全なオフボーディングの手続きどうすれば成立するのでしょうか。

ここでまたゼロトラストの原則が重要になります。

会社としては内部職員も、退職者も全て潜在的な攻撃者だと見なして、

攻撃の可能性を最小限にするべきです。

多くの企業は概ねこのような方法で企業情報の安全性を保持しています：

１．物理的な回収
２．法的な拘束
３．技術的な無効化（キーローテーション）

１の場合はもともとMDM（モバイルデバイスマネージメント）システムが設置されたパソコン・ラップトップを支給、

退社するときもMDMを使って安全にデータを管理して、物理的にデータを回収します。

2の場合は、職員個人の記憶に残ってどうしても情報流出の可能性を排除できない場合に備えて

秘密保持契約書などの法的な拘束を通じて守ることができますが、これは全的に契約者の遵法性を

信頼・依存することになり、ゼロトラストとは言いにくい最終手段として使われます。

３の場合は退社後に退職者が持っていた情報自体を無力化させる方法です。

ただ、これには現実的な制約が多いため核心の情報を退職と同時に更新して以前の情報を無効化します。





今回のクーパングの場合はゼロトラストの視点から見ると、

認証系の業務担当だった元職員が署名キーの情報を暗記できる可能性があったので

１の方法よりは３の方法を使うべきでした。

もしその攻撃者が退職した後、署名キーを新しく更新して無効化できたら、

3370万人の個人情報は安全に管理できたでしょう。

個人的には科学技術情報通信委員長の強い批判もこのような基本的なゼロトラストの原則を破って

オフボーディングを行ったことに起因していると思っています。

セキュリティはいつも最悪の場合を想定しなければなりません。

今回の件もまた、単純ですが強力なゼロトラストの重要性がもう一度強調できた事件でした。





参考リンク：https://www.donga.com/news/Economy/article/all/20251201/132875163/1