韓国の通信史上最悪のハッキング事件の余波を受け、韓国の金融機関は本人確認システムの強化を急いでいる。SKテレコム(SKT)で最近発生したハッキング事件は、韓国のデジタル・インフラにおける重大な脆弱性を露呈し、金融部門におけるより強固でネットワークに依存しない検証ソリューションの緊急の必要性を浮き彫りにした。
SKテレコムの情報漏えいの範囲と規模
2025年4月18日、約2500万人の加入者を抱える韓国最大の携帯電話会社SKテレコム(注:韓国の人口は約5100万人)が、社内システムへのサイバー攻撃を検知した。このサイバー攻撃は、リュ・ヨンサン最高経営責任者(CEO)が国会で「韓国の電気通信史上最悪のハッキング事件」と認めるほど深刻なものだった。
この攻撃により、加入者の電話番号やIMSI(国際移動体加入者識別番号)を含むUSIM(Universal Subscriber Identity Module)の機密データと、USIM情報処理に関連するSKTの内部管理データ21種類が流出した(出典:政府プレスリリース)。国会に提出された報告書によると、流出した情報は合計で約9.7ギガバイト、約9000冊の本、270万ページの文書に相当する。
SKテレコムが同社のセキュリティ監視センターでデータ流出を示す異常トラフィックを最初に検出したのは18日午後11時20分。翌日の午前1時40分までに、マルウェアに感染した機器を隔離し、侵入経路とデータ流出の範囲の分析を開始した。しかし、同社は当局への報告までに2日を要し、法律で義務付けられている24時間の通知義務を大幅に超過したため、批判にさらされており、また、影響を受けた顧客への通知に2週間以上かかったことで、現在、世間からのさらなる批判にさらされている。
国家に支援されたハッカーとの関係の可能性
この侵害は、より広範な国際的サイバーセキュリティの脅威と関連している可能性がある。台湾のサイバーセキュリティ企業TeamT5は4月24日、Ivanti VPNデバイスの重大な脆弱性が世界的なセキュリティリスクを引き起こしており、中国とつながりのあるハッカーグループが「Ivanti Connect Secure」仮想プライベートネットワークシステムの欠陥を悪用して世界中の機関に侵入していると警告する報告書を発表した。
このタイミングはSKTの事件と重なり、業界筋によると、Ivanti VPN機器はSK Telecomを含む多くの韓国企業で使用されており、関連性がある可能性を示唆している。調査中、当局はBPFDoorマルウェアの4つの亜種を特定しました。BPFDoorはBerkeley Packet Filterを悪用するステルスバックドアで、ハッカー通信の検出を特に困難にしています。
市場と消費者の反応
この事件はSKテレコムに大きな財務的打撃を与え、同社は時価総額で約9236億ウォン(約6億4320万ドル)を失った。一方、加入者の流出も始まっており、1日で3万4000人以上の顧客がライバルキャリアのKTとLG U+に乗り換えた。集団訴訟運動は勢いを増し、わずか3日間で4万9000人以上が同社に対する法的措置を支持するコミュニティに参加した。
政府と企業の反応
政府機関や公的機関は、業務用無線端末のSIMカードを再発行するよう国家情報機関から指示された。警察庁は22名からなる特別対策本部を設置し、情報漏えいの捜査にあたる一方、金融委員会(FSC)と金融監督院(FSS)は消費者保護と金融システムの安定を強化するため、緊急対応策を打ち出した。
大手企業は迅速な対応をとり、現代自動車のような企業は、高級幹部の代替SIMカードを確保し、社内で交換サービスを提供している。サムスン電子は幹部に「直ちに」SKTのSIMカードを交換するよう命じ、HD現代、ハンファ、ネイバー、カカオなど他の国益企業の社員にも同様の指示が出された。
緊急保護措置
金融機関は、潜在的な詐欺を防止するための緊急プロトコルを導入している:
- 認証要件の強化:KB国民、新韓、ハナ、ウリなどの主要銀行は、SKT利用者が新しい電子証明書を発行したり、新しいデバイスでモバイル金融取引を完了しようとする場合、顔認証を要求している。
- 取引制限:一部の金融機関は、SKテレコム利用者からのモバイルワンタイムパスワードの発行を含む取引要求を拒否している。
- 不正行為の検知:銀行は、不正な金融取引を特定するための不正検知システムを強化しており、不正行為が疑われる場合、口座は直ちに凍結される。
- 代替認証方法金融サービス業者は、SKテレコムのユーザーに対し、USIM保護サービスに加入し、USIMチップを交換し、テキストメッセージ以外の認証方法を使用するよう助言している。
テレコム主導型認証の脆弱性
SKTの情報漏洩は、韓国の本人確認エコシステムにおける重大な弱点を露呈した。多くの金融機関は、認証プロセスの一環として、電気通信事業者を介したユーザー認証に大きく依存してきた。金融会社は通常、モバイル金融取引を承認するために、電気通信事業者の認証に加え て少なくとも 2 つの追加ステップを必要とするが、今回の情報漏えいは、本人確認に電気通信インフラス トラクチャに依存するリスクを浮き彫りにした。
この脆弱性は、通信事業者主導の認証が優位を占める中、韓国のクレジットカード会社がID認証サービス市場から撤退していることを考えると、特に懸念される。この事件は、検証能力を単一の業界や技術的アプローチに集中させることの危険性を浮き彫りにしている。
韓国における本人確認の進化
歴史的背景
韓国には、デジタル ID 検証システムの長い歴史がある:
2000年代初頭から、韓国のほとんどの銀行はPKI(公開鍵基盤)証明書に基づいてインターネット・バンキング・サービスを提供してきた8。このアプローチは当初、政府によって義務付けられたもので、2015年までインターネット・バンキングへのPKI証明書の適用を義務として規制していた8。
2007年、韓国はネット上のプライバシー侵害や誹謗中傷に対処するため、「本人確認制度」を導入した12。この制度は、5年間にわたる公開討論と政治的議論を経て、「情報通信網利用促進及び情報保護に関する法律」で法制化された12。
デジタル・アイデンティティの最新動向
SKTの情報漏えいが起こる前、韓国は本人確認システムの近代化で大きく前進していた:
2025年3月、韓国はデジタルIDの全国展開を完了し、すべての国民と外国人居住者が韓国の住民登録証のデジタル版をスマートフォンに追加できるようになった。このデジタルIDにはブロックチェーンや暗号化などのセキュリティ機能が含まれており、なりすましを防ぐために生体認証が義務付けられている。
さらに、政府は最近、外国人居住者向けの在留カード確認サービスを開始し、外国人が直接銀行に出向くことなく、携帯電話を通じて金融取引を行えるようにした。このサービスは、外国人登録証の写真から顔の特徴を抽出し、法務省のデータベースにある写真と比較して、リアルタイムで真偽を確認するものである。
新しいアプローチの必要性
SK テレコムの情報漏えいは、このような進歩にもかかわらず、韓国の本人確認インフラには 重大な脆弱性が残っていることを実証した。この事件は、以下のような検証ソリューションの必要性を加速させた:
- ネットワーク接続に依存しない
- 大規模なデータ流出によって危険にさらされることはない
- 強力なバイオメトリック要素を組み込む
- 電気通信事業者から独立して機能する
安全な本人確認の未来
韓国の金融機関がより安全な本人確認方法を模索する際には、SKT の情報漏えいによって露呈した根本的な脆弱性に対処するソリューションが必要である。理想的なソリューションは、ネットワークに依存せず、安全性が高く、高度なバイオメトリクス技術を活用し、従来の通信インフラが侵害されても本人確認が有効であることを保証するものである。
プライバシー第一、ネットワークフリーのバイオメトリクス認証の利点
最近の情報漏洩事件を踏まえ、プライバシーを第一に考えたネットワークフリーのバイオメトリクス認証システムが提供する利点が認識されつつある。このようなシステムは、バイオメトリック・データを集中データベースではなくローカルに保存するため、大規模なデータ漏洩のリスクを排除する。また、ネットワーク接続とは無関係に動作するため、ネットワークベースの攻撃や停電にも強い。
また、バイオメトリクス識別子は各個人に固有であり、偽造や盗用が困難であるため、バイオメトリクス認証は従来の方法よりも高度なセキュリティを提供する。ユーザーの同意とデータ保護を優先するプライバシー・ファーストのアプローチで実装すれば、これらのシステムはセキュリティ強化と個人情報保護規制の遵守の両方を実現できる。
SNAPPASS 現在の脆弱性への対処方法
ANDOPENのSNAPPASS テクノロジーは、SKTの情報漏えい事件で浮き彫りになった脆弱性に対処する上で、重要な進歩である。顔認識ベースの物理的IDおよび認証ソリューション」として、SNAPPASS 、非常に安全で正確な本人確認方法を提供することで、犯罪や詐欺の防止に役立っている。
ネットワークや中央データベースに依存する従来の検証システムとは異なり、SNAPPASS 、オフラインでスケーラブルなコールドストレージ型のバイオメトリクスIDを提供する。このネットワークフリーのアプローチは、通信システムが侵害された場合でも、身元確認が中断されることなく継続できることを意味する。
SNAPPASS は、「誤認識0%で無制限のバイオメトリック・ユーザー数」をサポートし、「遠隔地や空から隔絶された環境を含む」施設の安全を確保することができる。このため、特に高いレベルのセキュリティと信頼性を必要とする金融機関に適している。
特に金融用途では、SNAPPASS「SNAPPIN オンボード決済カード」によって金融犯罪を排除し、生体認証で保護された決済端末でカード盗難、詐欺、不正取引からユーザーを保護することができる。この機能は、SKTの情報漏えい事件で提起された、漏洩したUSIMデータから生じる金融詐欺の可能性に関する懸念に直接対応するものである。
SNAPPASS 、組織の顧客データ保護を強化する方法をご覧ください:
