韓国のロッテカードで2025年8月中旬に発生したサイバー攻撃により、約300万人分の顧客情報が流出する可能性が明らかになった。ランサムウェア攻撃による不正アクセスで、住民登録番号やカード番号などの敏感な個人情報が外部に持ち出される被害が生じた。
ロッテカードは会員数約960万人を抱える大手クレジットカード会社で、韓国国内のクレジット決済の日次10%前後を処理するインフラ企業である。2025年8月中旬のハッキング事件では、2017年に修正パッチが公開されていた決済関連サーバが未更新のまま残存しており、そこを通じて侵入された可能性が高いとみられる。
侵入後、およそ2週間にわたり検知されず、合計約2,700件のファイルが外部に持ち出されたと推測されている。流出した情報には、住民登録番号、複数のID情報、連絡先情報に加え、一部の顧客ではカード番号・有効期限・認証コード(CVC/CVV)といった金融情報が含まれていた。
ロッテカードは当初、流出データを約1.7GBと推定していたが、後の調査で100GBを超える規模に達する可能性が判明した。これは2025年4月にSKテレコムで流出した約2,300万人分の個人情報(9.82GB)の約10倍の規模である。
今回の事件では、長期未パッチの孤立サーバ、監視の不十分さ(遅延検知)、データ暗号化の未徹底という三重の管理課題が露呈した。流出データの約56%しか暗号化されていなかった。
ロッテカードは該当顧客への通知とカード停止・再発行の手続きを開始した。特に流出被害が最も激しい28万人に対しては、カード再発行とパスワード変更を誘導する対応を進めた。
個人情報流出は、標的型フィッシングや本人なりすまし、クレジット不正利用のリスクを長期にわたり高める。特にカード情報と決済内訳の組み合わせは2次犯罪に直結する危険が高く、不正利用の可能性が懸念される。
韓国の個人情報保護委員会(PIPC)は金融当局と連携し、法令違反の有無と被害規模の精査に着手した。経営トップは会見で謝罪し、被害補償と経営・セキュリティ体制の抜本改革を約束した。
ロッテカードの個人情報流出事故は、約960万人の会員を抱える大手カード会社の重大なセキュリティ侵害である。個人情報の保護は事業者の信頼と直結する基盤であり、長期未パッチサーバの管理、監視体制の強化、データ暗号化の徹底など、継続的で厳格な管理体制の確立が改めて問われる事案となった。
