2025年9月、韓国第2位の電気通信プロバイダーであるKT Corporationは、278の顧客のモバイル決済システムを侵害する高度なサイバー攻撃を公表し、1億7000万₩(122,400 ドル)の不正取引が発生した。金銭的な損失は比較的軽微であるように見えるが、この攻撃の技術的な巧妙さと斬新な手法は、何十億もの人々が日常的に利用している通信ベースの認証システムに壊滅的な脆弱性があることを露呈している。2,700万人のユーザーに影響を与えたSKテレコムの侵害からわずか数カ月後に発生したこの事件は、携帯電話ベースの認証が、分散型の代替手段への早急な置き換えを要求するシステム的なセキュリティ上の責任になっていることを示している。
KTのフェムトセル攻撃は新たな脅威のベクトルを示す
KTの事件は、韓国で初めて文書化された違法なフェムトセル攻撃の事例であり、従来のセキュリティ対策を回避する恐ろしくアクセスしやすい攻撃ベクトルを導入した。2025年8月6日から9月8日にかけて、攻撃者は、屋内のカバレッジを拡大するために通常使用される小型の携帯電話基地局であるフェムトセルを改造し、ユーザーの認証プロセスを傍受して侵害しました。
この技術的メカニズムは、壊滅的な効果を発揮した。攻撃者は、二次市場を通じて標準的なフェムトセル・デバイスを約300万ドル(2,200ドル)で入手し、キャリア認証プロトコルをバイパスするようにファームウェアを変更した。KTのネットワークに接続されると、これらの不正基地局は半径10メートル以内の携帯端末を自動的に捕捉した。被害者の携帯電話が最も強いと思われる電波に接続すると、侵入したフェムトセルは 5,561人の顧客のIMSI(International Mobile Subscriber Identity)番号とSMS認証コードを内部で復号化した後、平文で傍受した。
KAISTのKim Yong-dae教授がこの脆弱性を説明した:「携帯電話からフェムトセルへの通信は暗号化されていますが、フェムトセルは内部でメッセージを復号化します。ハッカーがこのフェムトセルをコントロールすれば、メッセージを傍受し、リアルタイムで個人情報を盗むことができる。”攻撃者たちは、被害者が不正な取引に気づきにくい早朝の時間帯を中心に、ソウル首都圏と京畿道に集中して活動した。彼らは、認証にSMS認証のみに依存するKTのマイクロペイメント・システムを悪用し、モバイルギフト券の購入やトランジットカードのトップアップを通じて、計画的にアカウントを流出させた。
この攻撃が特に問題なのは、そのアクセスのしやすさだ。高度な持続的脅威やゼロデイ・エクスプロイトを必要とする洗練された国家活動とは異なり、フェムトセル攻撃は容易に入手可能なハードウェアと基本的な技術知識を利用した。高麗大学のイム・ジョンイン教授は、フェムトセルがこれほど簡単に侵害されたのであれば、「内部統制の不備の可能性」を示唆し、内部関係者の関与や通信機器のセキュリティ・プロトコルの不備について疑問を投げかけるものだと指摘した。
韓国の通信事業者、認証違反の流行に直面
KTの事件は、韓国で進行中の通信セキュリティ危機の最新章に過ぎない。侵入のパターンは、10年以上続いているシステム的な脆弱性を明らかにしており、事件のたびに認証の弱点がますます深刻になっている。
2025年4月に発生したSKテレコムの不正アクセスは、韓国史上最も壊滅的な通信セキュリティ障害となる可能性がある。攻撃者はほぼ3年間(2022年6月から2025年4月まで)未発見のアクセスを維持し、2,700万人のユーザーからなる顧客ベース全体を危険にさらしました。28台の感染したサーバーにまたがってBPFDoorマルウェアの亜種を使用し、脅威行為者(Red Mansion、Weaver Ant、Salt Typhoonを含む中国のAPTグループと疑われている)はIMSI番号、USIM認証キー、25のカテゴリーの加入者情報を抽出しました。この侵害の巧妙さと持続性により、7000億㌆の修復投資が行われ、全国的なセキュリティ見直しのきっかけとなった。
過去の事件から、厄介なパターンが明らかになっている。KTは2012年(870万人の顧客)、2014年(1200万人の顧客、ユーザーベースの75%に相当)、2016年に大規模な情報漏洩に見舞われた。LG U+は2023年に30万人の顧客に影響する重大な情報漏洩を経験し、データベース管理者のパスワードが「admin」に設定され、アクセス制御が不十分であったことが調査官によって発見されたため、68億円の罰金が課された。2014年に発生した複数事業者による情報漏えい事件では、KT、KT、LG U+の3大キャリアが同時に情報漏えいを起こし、合計1,230万件のレコードが影響を受け、業界全体にわたる協調的な攻撃が実証された。
これらのインシデントには、長期にわたる未検出のアクセス、認証システムの脆弱性の悪用、 認証クレデンシャルを含む膨大なデータの流出、通信事業者による検出と報告の遅れといった 共通の特徴がある。主要な通信事業者すべてで繰り返し発生していることから、この問題は、個々の企業の失敗にとどまらず、認証アーキテクチャーにおける業界全体の構造的な脆弱性をも包含していることがわかる。
モバイル認証システムには固有の脆弱性がある
携帯電話ベースの認証の基礎となる技術アーキテクチャは、洗練された敵が日常的に悪用する複数の攻撃面を作り出している。これらの脆弱性の核心は SS7(Signaling System 7)プロトコルこれは 1970 年代の世界的な電気通信信号規格で、設計上、認証と暗号化を欠いている。米国国土安全保障省の評価は厳しい。「DHSは、米国のすべての通信事業者が(SS7とDiameterの)エクスプロイトに対して脆弱であり、その結果、国家安全保障、経済、および連邦政府の国家重要機能の確実な遂行能力に対するリスクが生じると考えている。
SS7の脆弱性は、リアルタイムの位置追跡、ワンタイムパスワードのSMS傍受、通話傍受と盗聴、サービス拒否攻撃、課金操作による加入者詐欺など、壊滅的な攻撃を可能にする。SS7ネットワークへのアクセスは、ダークウェブマーケットで150ドルから2500ドルで入手可能であり、以前は諜報機関だけに許されていた能力を攻撃者に提供する。犯罪者がSS7の脆弱性を利用して口座を流出させた2017年のドイツの銀行攻撃は、これらが理論上のリスクではなく、積極的に悪用される弱点であることを実証した。
SIMスワップは、モバイル認証におけるもう一つの重大な脆弱性である。プリンストン大学の調査によると、「米国ではSIMスワップの試みの5件中4件が成功しており」、PayPal、Venmo、Amazonを含む17の主要ウェブサイトが、SIMスワップだけで侵害される脆弱性を残している。この攻撃はシンプルで、通信事業者のカスタマーサービスをソーシャル・エンジニアリングし、被害者の番号を攻撃者が管理するSIMに転送するというものだが、その効果は疑わしい。2022年には、40のKTの顧客がSIMスワップ攻撃によって2億7000万⥨の暗号通貨を失った。
ベースバンド・プロセッサーを悪用することで、脆弱性のレイヤーがさらに増えます。セルラー通信を処理するこれらの独立したプロセッサは、アプリケーション・プロセッサよりも大幅にハード化されていないため、不正なネットワーク・パケットを通じてリモートでコードを実行される可能性がある。Mobile Pwn2Ownのセキュリティ研究者は、10万ドルの賞金に相当するベースバンド侵害を実演し、洗練された攻撃者が低レベルのネットワーク・アクセスを通じてアプリケーション・レベルのセキュリティを完全に回避できることを証明した。
韓国特有の実装は、こうした脆弱性をさらに悪化させている。オンライン・サービスに必須の 본인증(本人確認)システムは、電気通信事業者と直接統合されており、SMS 認証に大きく依存している。マイクロペイメント・システムでは、主にSMSコードと簡単な暗証番号によって認証され、成人で毎月100万₩までの取引が可能である。重要な認証のために電気通信インフラに過度に依存しているため、通信事業者が危険にさらされると、障害が連鎖的に発生する。
集中型認証は致命的な単一障害点を生み出す
電気通信ベースの認証の根本的な欠陥は、技術的な脆弱性にとどまらず、集中型シ ステム特有のアーキテクチャ上の問題にも及んでいる。学術研究は、集中型認証が危険な単一障害点を生み出すことを一貫して指摘している。ACM デジタル・ライブラリの研究は、次のように指摘している:「一般に使用されている集中化された信頼と集中化された ID 管理は、情報システムと組織を単一 障害点に陥りやすくする。
ソルト・タイフーン・キャンペーンは、中央集権化された通信インフラがいかに国家行為者の戦略的標的となるかを例証している。このキャンペーンは、マーク・ワーナー上院議員が「コロニアル・パイプラインやソーラーウィンズが子供の遊びに見える」ような「わが国史上最悪の電気通信ハッキング」と呼んだもので、ベライゾン、AT&T、T-モバイルを含む少なくとも9つの米国電気通信会社に侵入した。発見されるまでの1~2年間、攻撃者は政府監視用に設計された合法的傍受システムにアクセスし、皮肉にも外国の敵対者にとって完璧な攻撃ベクトルを作り出した。
NISTの公式ガイダンスは、こうしたリスクを明確に認めている。NIST SP 800-53 コントロールCP-8(2)は、組織は「プライマリ電気通信サービスと単一障害点を共有する可能性を低減するために、代替の電気通信サービスを取得する」べきであると述べている。このガイダンスは、電気通信プロバイダーが物理的なインフラを共有することが多く、一見独立したシステム間で脆弱性の露出が増大することを認識している。
業界分析により、集中型システムの障害に一貫したパターンがあることが明らかになった。認証が集中型インフラに依存している場合、サーバの危殆化は、接続されているすべてのシス テムに同時に影響を与える。ネットワークの停止は、ユーザ全体に認証障害を引き起こす。SKT事件の2,700万人という被害者数が示すように、データベース侵害は一度に数百万人のユーザーの認証情報を暴露する。認証リクエストを大規模に処理するとパフォーマンスのボトルネックが生じ、セキュリティと可用性の両方のリスクが発生する。
分散型システムとの対比が際立っている。IEEEの分散認証に関する研究では、次のように指摘されている:「認証が分散しているため、1つのサーバーの障害がすべてのユーザーに影響することはない。システムは独立して拡張でき、中央のサーバーに負担をかけることなく、より多くのユーザーやリクエストを処理できる。1つのサーバーを危険にさ らしても、ネットワーク全体が危険にさらされるとは限らない」。このアーキテクチャ上の利点は理論的なものではなく、電気通信への依存を完全に排除する新たな認証標準の基盤となっている。
SMS認証の廃止を求める専門家のコンセンサス
世界中のセキュリティ専門家が圧倒的なコンセンサスに達した。ソルト・タイフーンの攻撃を受けて、CISAは「SMSや音声メッセージング・チャンネルからの移行」を明確に推奨し、従来の電気通信の代わりに暗号化されたメッセージング・アプリを使用するよう助言する前例のないガイダンスを発表した。これは、SMSベースの認証が十分なセキュリティを確保できないことを認めた、政府の立場の根本的な転換を意味する。
ブルース・シュナイアー(Bruce Schneier)氏は、NISTがSMS認証の非推奨を試みたことを文書化し、業界の圧力がその姿勢を軟化させたものの、「根本的なセキュリティ上の懸念は依然として有効である」と指摘した。フォレスター氏は、「SMS 2FAは攻撃の76%しか阻止できず、認証試行の4分の1近くが侵害されやすい状態にある」と述べている。
プリンストン大学の研究では、140のウェブサイトにおける認証ポリシーをリバースエンジニアリングし、広範な脆弱性を実証している。PayPalやAmazonを含む主要なプラットフォームが、「初期設定のまま」SIMスワップ攻撃に脆弱なままであるという彼らの発見は、洗練されたテクノロジー企業でさえ、通信ベースの認証リスクを軽減するのに苦労していることを示している。
金融業界の専門家は特に緊急の警告を発している。Darktrace FederalのCEOであるマーカス・ファウラーは、次のように説明する:「電気通信セクターは、新しいベンダーを導入するという業界の絶え間ないプレッシャーから、サイバー攻撃に対して非常に脆弱である。Traceable社のAyan Halder氏は、「SMS料金詐欺や2FAハイジャックなどの通信ベースの攻撃は、最高情報セキュリティ責任者にとって主流の懸念事項へと発展している」と指摘する。
主要なテクノロジー企業は、その実装で票を投じている。マイクロソフトは、SMSベースの2FAから完全に脱却し、「デスクトップ用のWindows Helloやモバイルデバイス用のMicrosoft Authenticatorアプリのようなパスワードレス技術」を推進している。グーグルも同様にSMSを廃止し、ハードウェア・セキュリティ・キーとアプリ・ベース認証を採用している。業界のリーダーたちによるこれらのシフトは、SMS認証がセキュリティ意識の高い組織にとって終息状態に達したことを示すものである。
分散型認証で通信依存を排除
つまり、中央集権的で通信に依存したシステムから、分散化され暗号化された安全な代替手段へと、アーキテクチャを根本的に変える必要がある。ANDOPENのSNAPPASSは、ネットワークフリーのバイオメトリック認証システムとして、2025年CESイノベーションアワードを受賞しています。
SNAPPASSは、ネットワークからの完全な独立性という画期的な原則に基づいて運用されている。このシステムは、AIに最適化され、暗号化されたバイオメトリック・データを含むSNAPPINカードと、AIを活用したディープフェイク検知とライブネス検知を特徴とするSNAPCHECK認証ハードウェアで構成されている。認証は、ユーザーのカードとリーダーの間で完全にオフラインで行われ、ネットワーク接続なしで1分間に最大60回の認証を処理する。バイオメトリック・データは中央データベースに入ることはなく、各認証の試行後は直ちに破棄される。
このアーキテクチャは、電気通信ベースのシステムにおけるあらゆる主要な脆弱性に対処している。ネットワーク伝送がなければ、SMS傍受やSS7攻撃の可能性はない。物理的な所有が必要なため、遠隔地からの侵害を防ぐことができます。ローカル処理により、単一障害点が排除されます。分散アーキテクチャーにより、ある場所を侵害しても他の場所には影響しません。バイオメトリック・コンポーネントは、SIMカードのようにソーシャル・エンジニアリングやスワップができない強力な認証を追加します。
分散型認証ソリューションの広範なエコシステムは、この移行に対する市場の準備態勢を示している。分散型ID市場は爆発的な成長を遂げており、2022年の6億4780万ドルから2030年には417億3000万ドルと予測され、年平均成長率は最大90.3%に達する。マイクロソフトのEntra Verified IDのようなブロックチェーンベースのシステムは、W3C標準の分散型識別子(DID)を使用し、ユーザーに認証情報を管理させる。FIDO2/WebAuthn標準に従ったハードウェアセキュリティキーは、通信に依存することなくフィッシングに強い認証を提供する。
学術研究はこれらのアプローチを検証している。Nature Scientific Reports』誌は、ブロックチェーン・ベースの認証が「政府発行の電子IDカードを活用してデジタル署名を生成し、スマート・コントラクトを採用して認証プロセスを自動化する」ことで、セキュリティとユーザビリティを維持しながら通信インフラの必要性を排除することを示す研究を発表した。
通信認証の時代は今すぐ終わらせるべき
KTマイクロペイメントのハッキングは、金銭的にはささやかなものではあるが、認証セキュリティの分水嶺を示すものである。この攻撃は、容易に入手可能なフェムトセル・ハードウェアを使用して認証システムを侵害したもので、電気通信ベースのセキュリティが些細なことで破られるようになったことを示している。2,700万人のユーザーに影響を与えたSKテレコムの侵害や、業界全体の持続的な脆弱性と合わせると、その証拠は否定できないものになる。
専門家のコンセンサスは一致している。CISAのような政府機関は、SMS認証の廃止を明確に推奨している。学術研究は、集中型システムの基本的なアーキテクチャの欠陥を証明している。セキュリティ研究者は、恐ろしいほど定期的に成功した攻撃を実証している。大手テクノロジー企業は、すでに通信に依存した認証から移行している。もはや問題は、SMS や電気通信ベースの認証を放棄するかどうかではなく、組織がいかに早く移行を完了できるかである。
ANDOPENのSNAPPASSのようなソリューションは、認証が脆弱な通信インフラから独立して動作する未来を指し示しています。物理的な所有、バイオメトリクス認証、ネットワークフリーのオペレーションを組み合わせることで、これらのシステムは、優れたユーザー体験とプライバシー保護を提供しながら、攻撃の全カテゴリーを排除します。2030年までに分散型ID市場が417億3000万ドルに成長すると予測されていることは、企業がこの必要性を認識し、それに応じて投資していることを示している。
KT事件は最終警告となるべきである。SMSや電気通信ベースの認証に依存し続ける組織は、個々のセキュリティ態勢を超え、重要インフラや国家安全保障を脅かす壊滅的なリスクを受け入れることになる。今日、これらの脆弱性を完全に排除する技術は存在する。残された唯一の問題は、完全に防止可能な認証侵害の次の犠牲者になる前に、組織が行動を起こすかどうかである。
ANDOPENのSNAPPASSや類似のネットワークフリーソリューションは、通信認証の失敗の根本原因に対処する、即座に実装可能な代替手段を提供します。認証の未来は、分散化され、ネットワークに依存せず、暗号的に保護されたものでなければなりません。KTハックは、遅れがもたらす結果を私たちに示した。進むべき道は明らかだ。
