クーパンは個人情報流出の当事者を特定し、顧客情報の流出に使用されたすべての端末を回収したと25日に明らかにした。
現在までのクーパンの調査によれば、流出者A氏は元従業員1人であり、在職当時に取得した内部セキュリティキーを不正流用して顧客情報にアクセスしたことが確認された。A氏は3300万件の顧客情報にアクセスしたが、約3000件のアカウントの顧客情報のみ保存した。
保存された情報には、名前・メール・電話番号・住所・一部の注文情報・共同玄関の出入番号2609件などが含まれた。しかし決済情報やログイン情報、個人通関固有番号などの機微情報は含まれなかった。
その後、A氏が保存した約3000件のアカウント情報もすべて削除したことが確認された。とりわけ外部への送信など追加流出はなかったというのがクーパン側の説明だ。
クーパンはデジタル・フォレンジック分析を通じて流出者の身元を特定したと伝えた。フォレンジック分析はグローバルサイバーセキュリティ企業のマンディアント、パロアルトネットワークス、アーンスト・アンド・ヤングの3社に調査を依頼し、フォレンジック結果はA氏の供述と一致したと調査された。
A氏は個人のデスクトップPCとMacBook Airノートパソコンを使用して顧客情報にアクセスした。クーパンは該当PC1台とハードドライブ4台を確保し、フォレンジック分析の過程で攻撃に使用されたスクリプトを発見したと説明した。
ノートパソコンについては、A氏が証拠隠滅を図るため物理的に破壊した後、レンガを入れたカバンに入れて近くの河川に捨てたと調査された。クーパンはA氏の供述をもとに潜水士を投入して該当機器を回収し、機器のシリアル番号がA氏のiCloudアカウント情報と一致したことを確認した。
クーパンは今回の3370万件の大規模個人情報流出事案に関連し、捜査初期から確保した陳述書と機器およびフォレンジック資料を政府機関に提出した。
クーパン側は「現在進行中の調査にも協力している」とし、「個人情報流出で顧客に大きな不安を与えた点について責任を痛感している。今後の調査経過に応じて追加の案内を行った後、顧客補償案も別途発表する計画だ」と述べた。続けて「二次被害の予防に万全を期す」とし、「今回の事態を機に再発防止のためのあらゆる方策を講じることを約束する」と付け加えた。