韓国ソウル市が運営する公共自転車サービス「タルンイ(Ttareungyi)」を管理するソウル施設公団は、2024年6月に発生したサイバー攻撃により、最大で約450万人分の会員個人情報が流出した可能性があると公表。
この事案は、2026年に入ってから判明した。
問題の発端は、2024年6月28日から30日にかけて発生したタルンイのスマートフォン向けアプリの障害で、期間中にアプリがDDoS攻撃を受け、約80分間にわたりサービスが利用できない状態となっていた。
DDoS攻撃とは、複数のコンピューターから標的となるサーバーに大量の通信を送りつけ、過負荷によってサービスを停止させるサイバー攻撃の手法である。
タルンイのアプリ用サーバーを管理していた「KT Cloud」は、2024年7月に提出した分析報告書の中で、会員情報の一部に流出の兆候が確認されたと指摘していた。
しかし、ソウル施設公団はこの報告を受けながら、個人情報が流出した可能性についてソウル市や関係機関に報告を行わず、サーバーの増設やセキュリティ対策の強化のみを実施していたとのこと。
公団が流出の疑いを正式に認識したのは2026年1月27日で、ソウル警察庁サイバー捜査隊が別の事件の捜査過程で関連情報を伝えた後となる。
その後、公団は法令で定められた期限に従い、同月30日に個人情報保護委員会および韓国インターネット振興院へ報告している。
ソウル市は2026年2月6日、市庁舎で記者ブリーフィングを開き、ソウル施設公団の初期対応に問題があったことを公表。
交通運営局のハン・ジョンフン局長は、公団の担当者が流出の可能性を把握しながら、適切な対応を取らなかった点を問題視した。
流出規模について、ソウル施設公団は、2024年当時のタルンイ会員数が約455万人であったことから、最大で約450万人分の情報が影響を受けた可能性を否定できないとしている。
また流出した可能性があるのは、必須登録項目であるユーザーIDと携帯電話番号、メールアドレス、生年月日、性別、体重などが該当。
一方で決済情報や住所といったデータは保存されていなかったため、流出していないと説明されている。
警察は、今回の事案をハッキングによる個人情報流出とみて、侵入経路や実際の被害規模、攻撃に関与した人物の特定に向けた捜査を進めている。
一方のソウル施設公団は事案発覚後、ソウル市と合同で緊急対応センターを設置。
アプリおよび公式サイト全体のセキュリティ点検と対策強化を実施しているとのことで、利用者向けの相談窓口として、ソウル多山コールセンター、ソウル施設公団コールセンター、専用メールアドレスを設け、問い合わせへの対応を進め市民に対して謝罪とともに、二次被害防止への注意を呼びかけている。
【参考記事】
https://koreajoongangdaily.joins.com/news/2026-02-06/national/socialAffairs/Bike-service-Ttareungi-did-nothing-about-2024-data-leak-affecting-45-million-users/2517865
https://en.sedaily.com/society/2026/02/06/seoul-facility-corporation-kept-silent-on-data-breach