「お金が盗まれていない」——それがもっとも危険な証拠だった

2025年4月、韓国最大の通信会社エスケーテレコム(以下、エスケーテレコム)がサイバー攻撃を公表した。被害規模は加入者約2300万人——韓国の総人口5200万人の、実に約44パーセントにあたる。しかし事件の本当の異常さは、規模よりも別の点にある。攻撃を受けた後、顧客詐欺や恐喝の被害が一件も確認されなかったのだ。

通常のサイバー犯罪なら、盗んだ情報はすぐに地下市場で売られ、フィッシング詐欺や不正送金に使われる。ところがエスケーテレコムの事件では、そのような痕跡がまったく見当たらない。韓国の個人情報保護委員会(PIPC)の調査と複数のサイバーセキュリティ専門家の分析が示すのは、この攻撃がお金ではなく「情報そのもの」を目的としていたという結論だ。

元記事・原文引用

元ネタSK Telecom hit with record privacy fine after massive data leak(The Korea Herald / 2025年8月28日)

“SKT had linked its internet, management and internal networks on the same system without restricting external access to its internal management servers.”

2022年から3年間——BPFDoorが組織の奥深くに潜んでいた理由

マルウェアが最初にエスケーテレコムのサーバーに仕込まれたのは2022年6月15日だった。その後、約2年10カ月にわたって検知されることなく潜伏し、2025年4月に約9ギガバイトのユーザー識別モジュール(USIM)関連データが一気に外部へ送出された。流出した情報には、電話番号、国際移動体加入者識別番号(IMSI)、ユーザー識別モジュール認証鍵など21種類が含まれる。

使われたマルウェアは「BPFDoor」と呼ばれるLinux向けのバックドア型不正プログラムだ。カーネルレベルのパケットフィルタリング機能を悪用するため、通常のウイルス対策ソフトやネットワーク監視ツールでは検知が極めて難しい。同一の不正プログラムは、アメリカの通信大手エーティーアンドティー、ベライゾン、ティーモバイルにも侵入した「ソルト・タイフーン」と呼ばれる中国系サイバー攻撃グループが使用したことで知られている。

韓国当局は現時点でソルト・タイフーンへの正式な帰属を認定していないが、複数のサイバーセキュリティ専門家は「アジア太平洋地域での標的型攻撃(APT)の手口と一致する」と指摘する。APT攻撃とは国家が支援する長期・計画的なサイバースパイ活動の総称であり、遅く・しつこく・痕跡を残さない点が特徴だ。

3つの構造的失敗——なぜ3年間「見えなかった」のか

個人情報保護委員会の調査報告書は、エスケーテレコムの組織的・技術的な失敗を3点挙げている。第一は、インターネット網・管理網・内部網が同一システム上に統合され、外部からの内部管理サーバーへのアクセスが制限されていなかったこと。第二は、2600万件以上のユーザー識別モジュール認証鍵が暗号化されていなかったこと。第三は、2016年に利用可能だったセキュリティパッチが適用されないまま放置され、侵入検知ログも無視されていたことだ。

さらに組織面では、最高個人情報責任者の権限がITサービス部門にのみ限定されており、通信インフラは対象外とされていた。これは「責任の空白」を構造的に作り出す組織設計だった。

通話記録が狙われた——スパイ活動説が示す本当のリスク

ユーザー識別モジュール認証鍵が盗まれると何ができるか。理論上は、被害者のSIMカードをクローン化し、本人になりすました形で通話を傍受したり、二要素認証を突破したりすることが可能になる。しかし専門家が最も懸念するのは、通話詳細記録(CDR)の価値だ。

通話詳細記録は「誰がいつどこで誰と通話したか」を記録した行動ログであり、政府高官・外交官・軍関係者の動向を追跡する情報収集活動において極めて価値が高い。ソルト・タイフーンがアメリカの通信会社を攻撃した際も、同様の通話詳細記録へのアクセスが主目的だったと報告されている。エスケーテレコムの事件でお金の被害がなかった理由は、ここにある。

日本の通信インフラが学ぶべき3つの教訓

ソルト・タイフーンはアメリカの主要通信会社に加え、アジア太平洋地域でも活動が確認されている中国系サイバー攻撃グループだ。日本でも2024年にエヌティティグループへの不正アクセスが公表されており、通信インフラを狙った国家支援型攻撃は日本とも無縁ではない。

韓国の今回の事件から、日本の通信事業者と規制当局が具体的に学べる点は3つある。第一は、ネットワーク分離の徹底だ。インターネット・管理・内部の各ネットワークを物理的または論理的に分離することで、侵入後の横断的な移動(ラテラルムーブメント)を防ぎやすくなる。第二は、ユーザー識別モジュール認証鍵など機微なデータの暗号化だ。平文での保存は最も初歩的な失敗であり、法的義務として明文化すべきだ。第三は、最高情報セキュリティ責任者の権限を通信インフラ全体に及ぼす組織設計だ。エスケーテレコムの失敗はまさにこの空白から生まれた。

韓国は2026年2月に個人情報保護法を改正し、最高情報セキュリティ責任者の権限強化と企業開示義務の厳格化を盛り込んだ。日本の個人情報保護委員会も同様の議論を加速させる必要がある。

史上最高額の罰金——そして問われる「3年間の沈黙」

個人情報保護委員会はエスケーテレコムに対し、134.8億ウォン(約97億円)の制裁金を課した。韓国の個人情報保護法史上最高額だ。ただし当初想定された最大額350億ウォン(無線通信売上高12.8兆ウォンの3パーセント上限)に比べると3分の1以下に留まった。

より深刻なのは罰金の金額よりも、マルウェア潜伏の3年間にわたって誰も気づかなかったという事実だ。「監視しているはずのシステムが、見ていなかった」——この問いはエスケーテレコム一社の問題ではなく、デジタルインフラを国民生活の基盤とするすべての国が向き合うべき問いでもある。日本の通信会社は、同じ問いに答えられるだろうか。

参照・原文リンク