韓国SKテレコム、マルウェア攻撃で顧客USIM情報漏洩の可能性

2025年4月23日11:44

サイバーセキュリティニュース

Last Updated on 2025-04-23 11:44 by admin

韓国最大の移動通信事業者SKテレコムは、2025年4月19日土曜日の現地時間午後11時頃、自社システムでマルウェアを検出し、顧客のUSIM関連情報が漏洩した可能性があると発表した。この事案は最近発生したばかりであり、デジタルセキュリティの観点から日本の通信事業者や利用者にとっても重要な教訓となる事例である。

SKテレコムは韓国の携帯電話サービス市場の約48.4%を占め、約3,400万人の加入者を持つ最大手通信事業者である。

科学技術情報通信部（科技部）の報告によると、流出した情報には加入者を識別できる電話番号や認証キーが含まれているが、氏名や住民登録番号などの機密個人情報は含まれていないとされている。ハッキング被害を受けたと推定される装置は、4Gおよび5G顧客が音声通話を利用する際に端末認証を行うサーバーである。

USIMデータには、国際移動体加入者識別番号（IMSI）、移動局ISDN番号（MSISDN）、認証キー、ネットワーク使用データなどが含まれており、これらの情報は標的を絞った監視、追跡、SIMスワップ攻撃に悪用される可能性がある。

SKテレコムは漏洩の可能性を認識した直後にマルウェアを削除し、ハッキングされた疑いのある機器を隔離する措置を取った。同社は現時点で漏洩した情報が悪用された事例は確認されていないとしている。

同社は翌日の4月20日に韓国インターネット振興院（KISA）に被害を報告し、4月22日には個人情報保護委員会にも通報した。科学技術情報通信部は情報保護ネットワーク政策官を団長とする非常対策班を構成し、必要に応じて民官合同調査団を編成して再発防止対策を講じる方針である。

SKテレコムは不正なUSIMスワップや異常な認証試行のブロックを強化し、追加の安全措置を希望する顧客向けに無料のUSIM保護サービスを提供している。このサービスを有効にすると、携帯電話番号が別のSIMカードに移行されるのを防止できる。

本稿執筆時点（2025年4月23日）では、この攻撃に責任を認めている脅威アクターは確認されていない。

from: SK Telecom warns customer USIM data exposed in malware attack

【編集部解説】

今回のSKテレコムのセキュリティインシデントは、わずか4日前に発生した最新の事案であり、日本の通信事業者や利用者にとっても他人事ではありません。通信インフラの脆弱性が明らかになった今回の事例は、私たちが日常的に利用するモバイル通信の安全性について再考する重要な機会を提供しています。

USIMとは、スマートフォンなどのモバイルデバイスに挿入されるSIMカードの進化版で、より高度なセキュリティ機能を持っています。このUSIMに保存されているデータには、国際移動体加入者識別番号（IMSI）や認証キーなどが含まれており、これらは携帯電話ネットワークへの接続や本人確認に不可欠な情報です。

今回漏洩した可能性のある情報には氏名や住民登録番号などの機密個人情報は含まれていないとされていますが、USIMデータだけでも悪用される可能性は否定できません。特に懸念されるのは「SIMスワップ攻撃」と呼ばれる手法です。これは攻撃者が被害者の電話番号を別のSIMカードに移し替えることで、二要素認証などのセキュリティ対策をバイパスし、銀行口座やSNSアカウントへの不正アクセスを試みる攻撃です。

日本でも2023年から2024年にかけて、SIMスワップ詐欺による被害が報告されており、総務省や警察庁も注意喚起を行っています。日本の通信事業者各社もSIMロック解除の義務化に伴い、不正なSIMスワップを防止するための対策を強化していますが、今回の事例は対策の重要性を改めて示しています。

韓国科学技術情報通信部は緊急対応チームを編成し、調査を進めていますが、サイバー攻撃の性質上、短期間で漏洩の全容を把握することは困難とされています。SKテレコムも「フォレンジック調査が進行中だが、悪意のあるコードの性質上、どのデータが漏洩した可能性があるかを正確に特定するには時間がかかる可能性がある」と述べています。

注目すべきは、この攻撃が週末の夜間に行われたことです。多くの組織が人員不足となる時間帯を狙った計画的な攻撃である可能性が高く、サイバーセキュリティの常時監視体制の重要性を再認識させる事例となりました。

また、韓国の個人情報保護法によれば、セキュリティ対策の実施を義務付ける第29条に違反した場合、関連収益の最大3%の罰金が科される可能性があります。日本でも個人情報保護法の改正により、個人データの漏洩時の報告義務や罰則が強化されており、企業のセキュリティ対策の重要性はますます高まっています。

今回のインシデントは、通信事業者のセキュリティ体制の強化だけでなく、個人ユーザーの意識向上も促しています。SKテレコムが提供する無料のUSIM保護サービスのように、日本の通信事業者も同様のサービスを提供していますが、ユーザー自身がこうしたサービスの存在を知り、積極的に利用することが重要です。

テレコム業界全体としても、今回の事例を教訓に、特に認証システムやユーザーデータを扱うインフラのセキュリティ強化が急務となるでしょう。5Gの普及とIoTデバイスの増加に伴い、通信ネットワークの重要性はますます高まっており、セキュリティリスクも比例して増大しています。

私たちユーザーにとっても、二要素認証の設定や定期的なパスワード変更など、基本的なセキュリティ対策の徹底が改めて重要であることを示す事例といえるでしょう。

【用語解説】

USIM（Universal Subscriber Identity Module）:
携帯電話を使用するために欠かせない電話番号などの契約情報が記録されたICカード。スマートフォンに挿入することで通信事業者のネットワークに接続できる。身分証明書のようなもので、これがなければ携帯電話ネットワークを利用できない。

SIMスワップ攻撃:
攻撃者が被害者の電話番号を自分の管理するSIMカードに不正に移行させる詐欺手法。鍵を複製して家に侵入するようなもので、二要素認証などのセキュリティを突破し、銀行口座やSNSアカウントへの不正アクセスを可能にする。

韓国インターネット振興院（KISA）:
韓国のインターネット振興、情報保護と国際協力を進める準政府機関。日本のIPA（情報処理推進機構）に近い役割を持つ組織である。

二要素認証:
パスワードに加えて、SMSなどで送られてくるワンタイムパスワードなど、別の要素による認証を組み合わせたセキュリティ方式。SIMスワップ攻撃ではこの二要素認証を突破することが主な目的となる。