韓国最大級のECプラットフォームで、「ほぼ全ユーザー規模」の個人情報が長期間じわじわ抜かれていた――そんな現実が、ついに数字となって可視化されました。
いま私たちが毎日使っている通販アプリで同じことが起きたら、どこまで自分ごととして想像できるでしょうか。
韓国のEC企業クーパンで、約3,370万件の顧客アカウントに関する個人情報が流出したことが確認された。
流出した情報は、名前、メールアドレス、住所、電話番号、一部の注文情報である。クーパンは、全顧客100%ではないものの、顧客大多数の情報が対象であることを認めた。
決済情報、クレジットカード番号、ログイン情報は流出しておらず保護されていると説明した。クーパンは2025年11月18日に約4,500件の個人情報流出を把握し、警察庁と個人情報保護委員会に通報していた。
調査の結果、2025年6月24日から海外サーバーを通じて無断アクセスが行われたと推定している。クーパンは外部セキュリティ専門家を招き、無断アクセス経路の遮断と内部モニタリング強化を行ったと説明した。
From: 
쿠팡 고객 대부분 털렸다‥이름·주소 등 개인정보 3,370만 개 유출
【編集部解説】
韓国のEC最大手クーパンで起きた「3,370万件」という規模の情報流出は、一企業の事故にとどまらず、「EC=生活インフラ」となった時代のセキュリティリスクの大きさを示す象徴的な出来事です。 韓国や日本の複数メディアの報道を照合しても、流出規模や期間、項目についての大枠は一致しており、事案の深刻さそのものは共通認識になっています。
特に重要なのは、「約3,370万件」という数字が、クーパンの“事実上の全顧客”に近いボリュームだという点です。 一部では「全会員3,370万人」と表現する記事もあり、活性顧客数を上回るアカウントが対象になったと伝える専門メディアもありますが、クーパン自身は「全体の100%ではないが大多数」と表現を抑えています。表現の差はあるものの、「大半の利用者が巻き込まれた広域インシデント」であることは変わらないと言えます。
流出した項目は、名前、メールアドレス、住所、電話番号、一部の注文情報であり、クレジットカード番号や決済情報、ログインパスワードは含まれていないと説明されています。 しかし、これは被害が軽いという意味ではなく、フィッシングメールやスミッシング、なりすまし電話に必要な“材料”がそろってしまったとも言えます。実際、韓国国内ではクーパン名義をかたる詐欺への警戒が呼びかけられており、「決済情報は守られた」というメッセージと「二次被害のリスク」は別軸で考える必要があります。
技術的な観点では、今回の件は「一瞬で抜かれたゼロデイ攻撃」というより、2025年6月24日ごろから11月まで、海外サーバー経由で長期間にわたり不正アクセスが続いていた点が重く受け止められています。 これは、アクセスログの監視や異常検知、認証まわりの設計・運用が、巨大ECのスケールに対して十分だったのかという問いにつながります。クーパンは外部セキュリティ専門家を招き、経路遮断とモニタリング強化を進めているとされていますが、もはや単独企業だけで抱え込むには大きすぎるリスクであり、業界標準や規制側のアップデートも不可避なフェーズに入ったと見るべきでしょう。
このニュースは韓国国内だけの話ではありません。クーパンは日本のユーザーにとっても「海外ECの代表例」であり、日本の大手EC、フードデリバリー、スーパーアプリも同様に、膨大な個人情報と購買履歴を抱えています。 デジタルサービスが生活に組み込まれるほど、一度インシデントが起きた際の社会的な影響は長期化しやすく、失われた信頼を取り戻すには年単位での対応が求められる可能性があります。
特に重要なのは、「セキュリティはUXの一部である」という視点です。ワンクリック購入や即日配送、パーソナライズされたレコメンドの裏側には、詳細な行動ログと本人特定情報が結びついています。 その“便利さの根っこ”をどう守るかは、これからのプロダクト設計やガバナンス設計の前提条件になっていきます。今回のクーパンの事案は、「海外で起きた大規模流出」ではなく、日本の事業者や開発者にとっても、「どこまでを自社で担い、どこからを外部の専門機関と組むのか」「インシデント発生時にどこまで迅速かつ透明に開示するのか」を考え直すきっかけになるはずです。
【用語解説】
フィッシング / スミッシング
実在の企業やサービスを装ったメールやSMSで偽サイトに誘導し、パスワードやカード情報などを盗み取る攻撃手法の総称である。
【参考リンク】
クーパン(Coupang)公式サイト(外部)
韓国発の大手ECプラットフォームで、当日配送などを強みに日用品から家電まで幅広く扱うオンラインショッピングモールである。
個人情報保護委員会(PIPC)(外部)
韓国政府の個人情報保護主管機関で、公共・民間を問わず個人情報保護法の運用と監督、違反時の調査や制裁を担う。
MBCニュースポータル(外部)
韓国の放送局MBCが運営するニュースサイトで、政治・経済・社会などの速報ニュースや番組連動コンテンツを提供している。
【参考記事】
쿠팡 회원 전체 3370만명 개인정보 유출…지난 6월부터(外部)
クーパン会員3,370万人の個人情報流出が2025年6月から続いていたとして、流出規模や期間、当局への報告経緯を詳細に整理している。
쿠팡, 개인정보 3370만개 유출…사실상 모든 고객 털렸다(外部)
「事実上すべての顧客」が対象になったとし、クーパン側の説明と当局の見解を並べて、被害規模と今後の調査や制裁の可能性を解説している。
쿠팡, 고객 개인정보 3370만개 털렸다(外部)
流出した項目の内訳や、クレジットカード情報が含まれていない点、外部セキュリティ専門家の投入など、技術・運用面での対応を詳しく伝えている。
5개월 전부터 낯선 로그인…쿠팡 ‘3370만명’ 개인정보 유출(外部)
約5カ月前から不審なログインがあったというユーザー証言を交え、インシデント検知の遅れや監視体制の課題に焦点を当てている。
쿠팡, 개인정보 노출 계정 3370만개로 활성고객 수 넘어…(外部)
流出アカウント数が活性顧客数を上回る点や、クーパンをかたるフィッシング・スミッシングのリスクを強調し、セキュリティ専門メディアの視点から分析している。
韓国大手通販サイト「クーパン」から3000万件以上の個人情報が流出(外部)
日本語でクーパンのデータ流出を報じ、流出規模や期間、流出した情報の種類、日本のユーザーにとっての注意点を簡潔に整理している。
韓国政府 3千万人超のクーパン個人情報流出=認証のぜい弱性悪用(外部)
韓国政府が認証基盤のぜい弱性悪用を指摘し、3,000万人超規模の流出として本格調査に乗り出した経緯と今後の規制議論を伝えている。
【編集部後記】
今回のクーパンの件は、「海外で起きたサイバー事件」ではなく、私たちの日常と地続きの話だと感じています。 名前や住所、注文履歴まで含むデータが一度外に出てしまうと、フィッシングやなりすましの材料として長く残り続けます。
ふだん使っているECやフードデリバリー、ポイントアプリに、私たちはどこまでの情報を預けるつもりでいるのか。もし今日、このニュースをきっかけに一つだけ設定を見直すとしたら、どのサービスから手を付けるか、そんな問いを、この記事を通じて一緒に考えていけたらうれしいです。
