中国の越境EC事業者であるアリエクスプレスコリアの販売者(セラー)アカウントが侵害され、86億ウォン相当の精算金が期日どおり支払われなかったことが判明した。
20日、祖国革新党のイ・ヘミン議員が韓国インターネット振興院(KISA)から提出を受けたアリエクスプレスコリア侵害事故申告書によると、同社は昨年10月、販売者が使用するビジネスオンラインポータルについて外部ハッカーの不正アクセスの可能性を把握し、社内調査に着手した。
調査の結果、ハッカーはビジネスアカウントのパスワード復旧過程で用いられるワンタイムパスワード(OTP)システムの脆弱性を悪用し、計107件のビジネスアカウントのパスワードを再設定した。このうち83件のアカウントでは、精算金の入金口座がハッカー名義の口座に変更されたことが確認された。これにより正常に支払われなかった精算金の規模は600万ドル、ハンファで約86億ウォンに達した。
アリエクスプレスは未払いの精算金に遅延利息を上乗せして販売者に支払い、販売者が金銭的被害を受けないよう措置したと申告書に明記した。ただし、アリエクスプレスは一部販売者から精算金未払いの問い合わせが寄せられるまで、会社側は特段の異常兆候を事前に把握できなかったことが判明した。
事故の把握後、アリエクスプレスはハッカーが悪用したOTPシステムを改善し、精算金の口座情報変更について追加の再検証手続きを導入したと明らかにした。
一方、科学技術情報通信部がイ・ヘミン議員室に提出した資料によると、アリエクスプレスコリアは情報保護管理体系(ISMS)および個人情報保護管理体系(ISMS-P)など主要な情報保護認証を取得していない状態であることが確認された。
これに対し科学技術情報通信部は「アリエクスプレスコリアの公式財務諸表が電子公示システムなどに公開されていないため、事業者が自らISMS認証の義務対象かどうかの要件を確認しなければならない状況だ」とし、「事業者に対しISMS認証の義務対象となり得ることを通知し、義務対象である場合は認証を受けるよう案内する予定だ」と説明した。
アリエクスプレスコリア側は「昨年6月、自主申請者の資格でISMS認証申請書を正式に提出した」とし、「現場審査および関連活動はすでに完了しており、近く韓国インターネット振興院の認証委員会に審査報告書が提出される予定だ」と明らかにした。