クーパンは個人情報流出の実行者を特定し、顧客情報の流出に使用されたすべてのデバイスを回収したと25日に明らかにした。流出者は約3300万件の顧客情報にアクセスしたが、約3000件の顧客情報のみを保存したというのがクーパンの立場である。
現在までのクーパンの調査によれば、流出者A氏は元社員1人であり、在職当時に取得した内部セキュリティキーを盗用して顧客情報にアクセスしたことが確認された。A氏は約3300万件の顧客情報にアクセスしたが、約3000件のアカウントの顧客情報のみを保存した。
保存された情報には、氏名・メール・電話番号・住所・一部の注文情報・共同玄関の出入番号2609件などが含まれた。ただし、決済情報やログイン情報、個人通関固有番号などの機微情報は含まれなかった。
その後、A氏が保存した約3000件のアカウント情報もすべて削除されたことが確認された。特に外部への送信など追加の流出はなかったというのがクーパン側の説明である。
クーパンはデジタルフォレンジック分析を通じて流出者の身元を特定したと伝えた。フォレンジック分析はグローバルサイバーセキュリティ企業のマンディアント、パロアルトネットワークス、アーンスト・アンド・ヤングの3社に調査を依頼し、フォレンジック結果はA氏の陳述と合致したと調査された。
A氏は個人のデスクトップPCとMacBook Airノートブックを使用して顧客情報にアクセスした。クーパンは当該PC1台とハードドライブ4台を確保し、フォレンジック分析の過程で攻撃に使用されたスクリプトを発見したと説明した。
ノートブックの場合、A氏が証拠隠滅を図るため物理的に破損させた後、レンガを入れたカバンに入れて近隣の河川に捨てたことが調査で判明した。クーパンはA氏の陳述に基づきダイバーを投入して当該機器を回収し、機器のシリアル番号がA氏のiCloudアカウント情報と一致したことを確認した。
クーパンは今回の3370万件の大規模個人情報流出事案に関連し、捜査初期から確保した陳述書と機器およびフォレンジック資料を政府機関に提出した。
クーパン側は「現在進行中の調査にも協力している」と述べ、「個人情報流出で顧客に大きな不安を与えた点について責任を痛感している。今後の調査経過に応じて追加の案内を行った後、顧客補償案も別途発表する計画だ」とした。続けて「二次被害の予防に最善を尽くす」とし、「今回の事態を機に再発防止のためのあらゆる方策を講じることを約束する」と付け加えた。