ロッテカードとKTのほかに多くの資産運用会社でもハッキングにより内部資料が流出したことが確認された。サーバーがハッキングされた資産運用会社は少なくとも20社以上というのが韓国政府関係機関の説明だ。

個人情報保護委員会は23日、最近複数の資産運用会社から個人情報流出の申告があり調査に着手したと明らかにした。申告した企業はマジェスティ資産運用とベンコアインベストメンツ資産運用などだ。これら資産運用会社はランサムウェア感染と従業員の個人情報など内部情報が流出した状況を把握して個人情報保護委員会に申告した。


ランサムウェアはハッカーがコンピュータシステムやデータなどを暗号化して金銭を要求するハッキング攻撃だ。金融当局が確認したハッキング被害を受けた資産運用会社は最小20社だ。オーサム資産運用は最近自社ホームページにランサムウェア感染による個人情報流出の可能性に関する案内文を掲示し謝罪した。


今回ハッキング被害を受けた資産運用会社は共通して電算設備企業のGJテックと関連がある。GJテックは韓国の資産運用会社、金融会社などに電算設備サービスなどを提供しており、今月初めに国際ランサムウェア組織「チーリン」のハッキング攻撃を受けたことが確認された。その後GJテックの電算設備サービスを使う資産運用会社のサーバーがランサムウェアに無差別に同時感染した。韓国の多くの資産運用会社がGJテックのサービスを使用中というのが個人情報委の説明だ。個人情報委関係者は「調査結果によりハッキング規模がさらに大きくなるかもしれない」とした。

現在資産運用会社の顧客の敏感な個人情報は流出していないものと金融当局は把握しているが、チーリンは資産運用会社の顧客の個人情報を確保したと主張している。「有名政治家と事業家の名前を含んだ顧客データがある」という。真偽は確認されていない。個人情報委はGJテックを中心に具体的な情報流出経緯と被害規模、安全措置順守可否などを確認する予定だ。

個人情報委関係者は「最近ランサムウェアによる個人情報流出事故が相次いでいる。脆弱点点検とセキュリティアップデート実施、会員データベースなど主要ファイルの別途バックアップ・保管などセキュリティ管理強化に格別の注意が必要だ」とした。