SKTのハッキング、2,695万人の個人情報流出事件の発表よりも深刻なレベルです

SKテレコム（SKT）のハッキング事件は、当初の発表よりもはるかに深刻なレベルであることが判明し、波紋が予想されます。民間と公的機関の合同調査団は19日に第2次調査結果を発表し、感染サーバーが5台から23台に急増し、2,695万件以上の大規模な個人情報が流出したことを明らかにしました。これに加えて、端末の固有識別番号（IMEI）の29万件以上の追加流出の可能性も確認され、事態の深刻さを増しています。調査団は合計23台のサーバーがマルウェアに感染した事実を確認し、これは第1次発表時の5台と比べて4倍以上の増加です。実際に流出した情報の規模も衝撃的です。加入者識別番号（IMSI）基準で、なんと2,695万7749件の情報が流出したことが確認されており、これはSKT全加入者数をはるかに超える規模であり、スマートウォッチやIoT機器に搭載されたSIMカードも含まれています。特に、従来「流出していない」と発表していたIMEI情報の流出可能性も新たに明らかになりました。感染したサーバーのうち2台からは、29万1831件のIMEIとともに、名前、生年月日、電話番号、メールアドレスなどの敏感な個人情報が発見されました。SKTのセキュリティ投資の実態を見ると、今回の事態は予見されていたのではないかとの指摘もあります。2024年のSKTの情報保護投資額は600億ウォンで、同年のAI事業に投入した6000億ウォンの10分の1に過ぎませんでした。競合のKT（1218億ウォン）の半分にも満たない水準です。加入者1人あたりの情報保護投資額も、SKTは2400ウォン、KTは6700ウォン、LGユープラスは4000ウォンと顕著な差が見られます。SKTは2022年と比べて2023年の情報保護投資を4.4％削減した一方、KTとLGユープラスはそれぞれ19.2％と116.4％増加しています。SKTのセキュリティ体制の構造的な問題も今回の事態を通じて明らかになりました。最高情報保護責任者（CISO）は存在しましたが、実質的なネットワークセキュリティの権限はネットワーク運用本部傘下のインフラセキュリティチームが担当しており、CISOは政策的役割に限定されていました。さらに、SKTは今年に入って代表的な情報保護会議を一度も開催していないことも判明しています。グローバルセキュリティ企業のトレンドマイクロは2024年7月と12月の2回にわたり、韓国の通信事業者を対象としたBPFドア攻撃の可能性を警告しましたが、SKTはこれを認識していませんでした。調査団は今回、合計25種類のマルウェアを発見したと明らかにしました。最初のマルウェアがインストールされたのは2022年6月15日と推定されており、長期間にわたるハッキング攻撃と被害規模の大きさから、個別企業の問題を超え、国家安全保障の観点から対策を講じる必要があるとの指摘もあります。チェ・テウォンSKグループ会長は、事態後に「これまでセキュリティは情報通信分野だけの領域と考え、専任チームに頼っていた」と認めました。SKTは依然としてセキュリティ投資拡大計画について、「民間と公的調査団の調査結果が出た後に策定する」と消極的な態度を示しています。今回の事態は、国内トップの通信事業者として、SKTがセキュリティを「コスト」としてのみ認識していた経営哲学の限界を露呈した事例と評価されています。

===============================

セキュリティが完全に突破されて3年間情報が漏洩していたのですね。

あの多くのフィッシング電話や個人情報漏洩が通信会社から漏れていたのですね。

SIMカード保護サービスは意味がないと言われています。携帯電話まで変えなければならないそうです。

もどかしいです。