C
月内に
韓国のロッテカードが、連系情報(CI)および住民登録番号を暗号化せずにサーバーログに平文で保存していたため、約129万人の個人情報が流出しました
📌 一言でいうと
韓国のロッテカードが、連系情報(CI)および住民登録番号を暗号化せずにサーバーログに平文で保存していたため、約129万人の個人情報が流出しました。放送メディア通信委員会は、安全管理措置の義務を怠ったとして、同社に1,125万ウォンの過料を科しました。内部規定の未整備や侵害事故対応計画の欠如など、組織的なセキュリティ管理体制の不備が指摘されています。
🏢影響範囲
韓国の金融業界、個人情報を扱うオンライン決済サービス運営組織
✅該当時の対応
1. サーバーログに個人情報(CI、住民登録番号等)が平文で記録されていないか監査を実施すること。 2. 機密データの保存および転送時の暗号化を徹底すること。 3. 個人情報保護に関する内部規定および侵害事故対応計画を策定し、定期的に更新すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】個人情報(CI/住民番号)のログ平文保存による流出事例について
お疲れさまです。個人情報管理に関する注意喚起の情報共有です。
■ 概要
韓国のロッテカードにおいて、オンライン決済サーバーのログに連系情報(CI)および住民登録番号が暗号化されず平文で記録されており、これを悪用した攻撃者により約129万件の情報が流出した事例が発生しました。内部規定の不備や対応計画の欠如が被害を拡大させた要因とされています。
■ 影響範囲
- 個人情報を扱う決済システム、ログ管理サーバー
■ 対応手順
1. アプリケーションログおよびシステムログに、個人識別情報(PII)が平文で出力されていないか全点検を実施してください。
2. ログ出力設定を見直し、機密情報はマスキングまたはハッシュ化・暗号化して記録するよう設定を変更してください。
3. 個人情報保護に関する内部規定およびインシデントレスポンス計画が最新の状態であるか確認してください。
■ 参考情報
- 放送メディア通信委員会 決定事項
対応優先度: 中
対応期限: 次回定期監査まで
お疲れさまです。個人情報管理に関する注意喚起の情報共有です。
■ 概要
韓国のロッテカードにおいて、オンライン決済サーバーのログに連系情報(CI)および住民登録番号が暗号化されず平文で記録されており、これを悪用した攻撃者により約129万件の情報が流出した事例が発生しました。内部規定の不備や対応計画の欠如が被害を拡大させた要因とされています。
■ 影響範囲
- 個人情報を扱う決済システム、ログ管理サーバー
■ 対応手順
1. アプリケーションログおよびシステムログに、個人識別情報(PII)が平文で出力されていないか全点検を実施してください。
2. ログ出力設定を見直し、機密情報はマスキングまたはハッシュ化・暗号化して記録するよう設定を変更してください。
3. 個人情報保護に関する内部規定およびインシデントレスポンス計画が最新の状態であるか確認してください。
■ 参考情報
- 放送メディア通信委員会 決定事項
対応優先度: 中
対応期限: 次回定期監査まで
Subject: [Info] Data Leakage via Plaintext PII in Server Logs (Lotte Card Case)
Dear Security Team,
We are sharing a case study regarding a data breach at Lotte Card in South Korea.
■ Overview
Lotte Card leaked the Connecting Information (CI) of 1.29 million users and resident registration numbers of 450,000 users. The root cause was the storage of this sensitive data in plaintext within online payment server logs, which was exploited by an attacker. The company was also found to lack internal security regulations and incident response plans.
■ Scope
- Payment systems and log management servers handling PII.
■ Action Items
1. Audit all application and system logs to ensure no Personally Identifiable Information (PII) is being recorded in plaintext.
2. Implement masking, hashing, or encryption for any sensitive data before it is written to logs.
3. Review and update internal data protection policies and incident response plans.
■ Reference
- Korea Communications Commission (KCC) ruling
Priority: Medium
Deadline: Next scheduled security audit
Dear Security Team,
We are sharing a case study regarding a data breach at Lotte Card in South Korea.
■ Overview
Lotte Card leaked the Connecting Information (CI) of 1.29 million users and resident registration numbers of 450,000 users. The root cause was the storage of this sensitive data in plaintext within online payment server logs, which was exploited by an attacker. The company was also found to lack internal security regulations and incident response plans.
■ Scope
- Payment systems and log management servers handling PII.
■ Action Items
1. Audit all application and system logs to ensure no Personally Identifiable Information (PII) is being recorded in plaintext.
2. Implement masking, hashing, or encryption for any sensitive data before it is written to logs.
3. Review and update internal data protection policies and incident response plans.
■ Reference
- Korea Communications Commission (KCC) ruling
Priority: Medium
Deadline: Next scheduled security audit