[비즈한국] 国内シェア1位の通信会社であるSKテレコム017670で、ハッキングによる大規模なSIMカード情報流出事故が発生し、大きな波紋を呼んでいる。SKTはSIMカードの無償交換や「SIM保護サービス」で被害を防ぐと事態の収拾に乗り出したが、加入者の不安はなかなか消えない。過去にSIMカードの複製犯罪が、暗号資産の奪取など金銭的な被害につながった事例があるからだ。いつどこで追加被害が発生するか分からず加入者の不安が高まる中、2022年から2024年にかけて発生したSIMカード複製犯罪に関連する判決を通じて、ハッキングがどのように資産奪取につながるのかを検証した。

4月19日に発生したSKTのSIMカード情報ハッキング事件の余波が広がっている。SKTは25日の告知を通じて「氏名、住所、住民登録番号のような個人身分情報は含まれていない」と明らかにした。被害規模については「関係機関と共に事故の原因や規模などについて調査中」と案内した。
SKTは国内1位の移動通信事業者だ。2024年末基準で市場シェアが45.3%に達する(科学技術情報通信部)。SKTは自社の全加入者数を約2300万人と明示している。SKTが被害規模を明らかにしてはいないが、シェアを考慮すると決して少なくない人数であると推測される。チェ・ミンヒ共に民主党議員は、流出した情報が9.7ギガバイト(GB)分に及ぶと発表したことがある。
流出事故が公になってから1週間が過ぎたが、加入者の不安は依然として消えていない。SIMカード複製犯罪にさらされる可能性があるという懸念が高まっているためだ。「SIMカード不正複製攻撃」とは、個人のSIMカード情報を違法な経路で収集して複製し、金融資産などを奪取する新型の犯罪手口で、国内ではここ3年ほどの間に問題として浮上した。フィッシングなどの金融詐欺と比較すると、手口があまり知られていない犯罪でもある。
これに関連し、SIMカード不正複製犯罪に関する過去3年間(2022年〜2024年)の刑事訴訟判決3件を分析し、SIMカード情報流出がどのように金銭奪取までつながるのかを確認した。被害者の資産を奪うまでの犯行は組織的に行われていた。さらに、犯罪グループは被害者のSIMカード情報だけでなく、氏名や住民登録番号などの個人情報も確保していた。
手口は大きく3つの段階で構成される。まずグループは、特定の通信会社加入者のSIMカード情報と個人情報を違法な経路で収集した。入手したSIMカード情報でSIMを複製した後、空き端末に装着して各種サイトの本人認証メッセージを横取りした。横取りした認証情報で被害者のアカウントがあるポータルサイトや暗号資産取引所などにアクセスし、少額決済を行ったり、暗号資産を別のウォレットへ移したりした。
最近の事件は2023年6月に発生したもので、約3億6500万ウォン相当の暗号資産が奪われた。被害者のSIMカードを集めることから資産を抜き取るまで、段階ごとに中間役が動員された。ハッキングなどでSIM情報を収集する「SIM情報奪取役」、SIM複製後に別の端末に入れて端末情報を変更する「SIM端末変更役」、複製したSIMを装着した端末で認証メッセージを横取りする「通信情報奪取役」、受け取った認証情報で被害者名義の暗号資産取引所アカウントにアクセスし暗号資産を別のウォレットに移す「暗号資産奪取役」が順次行動した。グループは中国を中心に、光州広域市や仁川広域市などで活動していた。

この事件では、国内の中間役がノートパソコンにSIM複製機とルーターを接続すると、中国にいるグループが遠隔プログラムでSIMを複製した。暗号資産の奪取は未明の3時から5時の間に行われた。被害者がハッキングの事実に気づきにくく、気づいたとしても即座に対応するのが難しい時間帯だ。
2022年2月には、SIM複製犯罪グループが格安スマホサイトの認証手続きの脆弱性を悪用し、非対面でSIMカードを発行させた事件もあった。彼らは偽の汎用公認認証書を利用して認証手続きを突破した。これもやはり、犯罪グループが被害者の氏名と住民登録番号を把握していたからこそ可能だった。
SKTもSIMカード不正複製攻撃の標的になったことがある。2022年5〜6月に発生した事件で、判決文によると犯罪グループは15人以上のSKT加入者のSIMカードを複製した。
SKTは今回の事故発生後、不正なSIM複製や端末盗用は起こりにくいと案内した。不正SIMの使用を検知する「異常認証遮断システム(FDS)」が稼働しており、「SIM保護サービス」に加入すればSIMカード交換と同様の被害予防が可能だという説明だ。SIM保護サービスとは、別の端末で複製SIMを使って通信サービスへ接続することを遮断するサービスである。SKTはこのサービスを2023年にソウル警察庁サイバー捜査隊と協力して開発したと発表した。
前述の判例を見ると、犯罪グループは様々な方法で被害者の個人情報まで確保し、金融資産を奪取した。SKTが個人身分情報は流出していないと発表しただけに、現時点で2次被害の有無は未知数だ。SKTは27日、「SIM保護サービス加入者に対してSIM不正複製被害が発生した際、SKTが責任を持って補償する」と発表したが、100%の補償対象をサービス加入者に限定したことで不評を買った。SKT側は「SIM保護サービスの安定性を強調し、加入を推奨する次元のものだ」と伝えた。
専門家も、SKTのセキュリティシステムが正しく稼働していれば、金融被害につながる可能性は低いと見ている。順天郷大学情報保護学科のヨム・フンヨル名誉教授は「技術的には、金融資産が奪われるリスクは大きくない。SIMカード情報は顧客固有識別情報(IMSI)、SIM認証キー、端末固有識別情報(IMEI)の大きく3つ」とし、「このうちIMEIは流出していないと聞いている。それならば、FDS機能を通じて複製端末の接続を遮断できる」と分析した。
科学技術情報通信部の官民合同調査団の一次調査結果によると、IMEI以外にIMSIや電話番号などSIM複製に悪用され得る4種と、SIM情報処理に必要なSKT管理用情報21種が流出した。
ただし、ヨム教授は警戒心を持つべきだと指摘した。彼は「追加被害リスクが低いというのは、SKTの利用者保護システムとFDSが正しく稼働しているという前提条件の下での話」とし、「加入者は万が一の事故に備えて、SIMカードを交換したりSIM保護サービスに加入したりする方が良い」と助言した。