出典:Ki Young / Shutterstock
韓国は、携帯通信事業者SKテレコムに対し、「利用者に安全な通信を提供する義務を果たさなかった」と判断し、小額の罰金と厳しい法的要件を課しました。
同社の4万2,000台以上のサーバーを対象に官民合同で調査を行った結果、政府のタスクフォースは28台のサーバーで33種類のマルウェア感染を確認したと、科学技術情報通信部が7月4日に発表した報告書で述べています。SKテレコムは、違反の報告が遅れたことによる過失で最大3,000万ウォン(約21,890米ドル)の罰金を支払う必要がありますが、四半期ごとのセキュリティ評価、利用者へのUSIM無償交換サービスの提供、契約者の違約金なしでの解約許可など、一連の法的要件も課されます。同社はこれらの措置により、収益が7,000億ウォン(約5億1,100万米ドル)減少すると見込んでいます。
同社が国内最大手の携帯通信事業者であることから、政府は迅速に対応したと報告書は述べています。
「この違反は、通信業界だけでなく、ネットワークインフラに依存するすべての分野にとって警鐘となるものです」と科学技術情報通信部のユ・サンイム長官は報告書で述べています(翻訳)。「SKテレコムは徹底した是正措置を講じ、今後は経営レベルで情報セキュリティを最優先すべきです。」
韓国のインターネットトラフィックが増加する中、インフラへの攻撃も増加しています。インターネットサービス企業Cloudflareによると、2025年第1四半期には前四半期比でトラフィックが6%増加し、1日あたり720億件のコンテンツリクエストのうち9%がサイバー攻撃と分類されました。
中国の高度持続的脅威(APT)グループは、韓国の通信事業者を標的にしており、米国の重要インフラに対する攻撃と同様の手口が使われています。
しかし、攻撃がサイバー犯罪者によるものか国家主体によるものかにかかわらず、攻撃の手法—そして防御策—は同じである場合が多いと、ゼロトラスト型サイバーセキュリティプロバイダーKeeper SecurityのCEO兼共同創業者ダレン・グッチオーネ氏は述べています。
「通信事業者は、管理する機密データの規模や運用する重要インフラのため、サイバー攻撃の主要な標的となっています」と彼は述べています。「国家主体もサイバー犯罪グループも、漏洩した認証情報や過剰なアクセス権限など、同じ脆弱性を悪用することが多いのです。」
SIMシティ
4月18日、SKテレコムは外部へのデータ通信を検知し、4月20日に韓国インターネット振興院に通知しました。通知の遅れ—情報通信網法では24時間以内の報告が義務付けられています—により、最大3,000万ウォンの罰金が科される可能性があります。
科学技術情報通信部は4月23日、SKテレコムの違反調査のためタスクフォースを設置しました。調査員は同社の42,605台のサーバーを調査し、BPFDoorバックドアやその他のマルウェアの痕跡を発見しました。最終的に、BPFDoorの27種類、Tiny Shellの3種類、その他3種類のマルウェアが見つかりました。
調査員はまた、2,700万件近い電話番号、加入者識別情報、その他25種類のSIMカード情報が漏洩していたことも確認しました。全体として、政府はSKテレコムのアカウント管理が不十分であり、過去の違反事案への対応も不適切、重要情報の暗号化も適切に行われていなかったと結論付けました。
罰金自体は微々たるものですが、実質的な制裁は今後企業に課される要件だと、Bugcrowdの最高情報セキュリティ責任者(CISO)トレイ・フォード氏は述べています。
「2万2,000ドルの罰金は、違反の影響に比べて侮辱的なほど少額ですが、韓国が違反通知のパフォーマンスを重視しているというシグナルです」と彼は述べています。「規制の観点から見たこの違反の本当の影響は、重大な失敗とデータセキュリティに対する企業の姿勢の欠如であり、それはメッセージからも明らかです。」
違反前に対策を
SKテレコムは、サーバー上でのパスワード保存の事例を制限し、保存が必要な場合は必ず暗号化すること、脆弱性のスキャンと修正を少なくとも四半期ごとに実施すること、より強固なサプライチェーンセキュリティプロセスの確立などが求められます。さらに、CISO(最高情報セキュリティ責任者)はCEO直下に配置され、全社的なセキュリティ管理の強化が図られます。
これらの要件は、韓国が世界的なセキュリティポリシーの成熟傾向に合わせていることを示していると、トレンドマイクロの脅威インテリジェンス担当副社長ジョン・クレイ氏は述べています。
「世界中で規制が成熟しつつあり、各国が自国の重要インフラや企業への攻撃の深刻さを認識しています」と彼は述べています。「法執行機関が悪質な行為者の特定や逮捕能力を高めている中、法律も加害者に対して重大な制裁を科す必要があります。」
グローバル企業は、新たなSKテレコムの要件を自社の取り組みの指標として検討すべきだと、Keeper Securityのグッチオーネ氏は述べています。
「アジア太平洋地域の組織は、境界防御を超えて、攻撃者が本当に狙っている“アイデンティティとアクセス”の保護に注力する必要があります」と彼は述べ、さらに「規制の期待値は高まっていますが、実際のコストは業務の混乱や長期的な評判の失墜であり、これは罰金の影響をはるかに上回る可能性があります」と付け加えています。