2025年、韓国最大手の通信会社であるSKテレコムで、約2,600万件のIMEI情報が流出する事件が発生しました。これは単純な個人情報流出を超えて、国家レベルのセキュリティも懸念される深刻な事件でした。
さらに衝撃的だったのは、これら機密情報すべてが暗号化されていない平文の状態でデータベースに保存されていたということです。この事件は、日本をはじめとする全世界の企業に「暗号化は選択ではなく必須である」というメッセージを投げかけています。
約3年間誰にも気づかれなかった侵入
タイムライン
- 2022年6月15日:マルウェアが最初にSKテレコムのシステムに感染したと推定される
- 2025年4月18日 : SKテレコムのネットワークインフラセンターで異常なデータ移動が検知され、その後課金分析装置でマルウェアおよびファイル削除の痕跡が確認される
- 2025年4月19日 : 加入者認証システム(HSS)で大規模データ流出の状況が確認され、ハッカーが通信網機器にマルウェアを設置してUSIM関連の一部情報を外部に送信していたことが明らかになった
- 2025年4月20日 : SKテレコムは韓国インターネット振興院(KISA)に侵害事故を届け出、その後個人情報保護委員会と警察の捜査が開始された
流出した情報の範囲
- USIM情報 : ICCID、IMSI、認証キー(KI)など、USIM複製に活用可能な情報4種、SKT管理用情報21種 →推定2,600万人の加入者に影響
- 機器情報 : 端末固有識別番号(IMEI) →約29万件
さらなる調査の結果、SKTの他の18台のサーバーでもマルウェア感染が追加確認され、合計23台のサーバーでマルウェア感染が確認されました。これらのサーバーには氏名・生年月日・携帯電話番号・メールアドレス・住所・IMEI・IMSIなど合計238個の情報(カラム値基準)が保存されており、政府は2022年6月から約3年間マルウェアに感染していたと把握されるため、感染経緯と流出状況を綿密に調査するとの立場を示しています。
侵入方法とセキュリティ脆弱性
- BPFDoorマルウェア : LinuxカーネルのBPF(Berkeley Packet Filter)機能を悪用して外部コマンドを受信し、内部システムにアクセスするバックドアマルウェアで、検知が非常に困難です。 その他、ウェブシェルなど合計25種の悪性コードが発見されました。
- セキュリティ脆弱性 : ハッカーは、Ivanti VPNの既知の脆弱性を悪用して内部ネットワークにアクセスした可能性が高いと指摘されています。また、システム保守要員のPC感染やサーバールームの内部協力者を通じた侵入なども仮説として挙げられています。その後、管理者権限を奪取し、データを徐々に流出させました。
IMEI情報が暗号化されていない状態で流出
今回のSKテレコムの事件で特に注目される事実のひとつは、端末の固有識別子(IMEI)が暗号化されずに「平文」で保存され、ネットワーク上でも平文状態で送信されていた点です。つまり、攻撃者が内部システムへの侵入に成功しさえすれば、特別な復号化過程を経ることなく、数十万件におよぶ機密IMEI情報をそのまま閲覧・収集できる構造だったのです。
IMEI(International Mobile Equipment Identity)は、全世界すべての携帯電話端末に付与される固有識別番号で、端末識別、通信認証、紛失機器の遮断・追跡、不正使用防止などさまざまなセキュリティ機能の基盤となるデータです。つまり、端末の立場から見ればIMEIは「デジタル指紋」のような存在です。
従業員や退職者などによる意図的な機密情報の持ち出しや不正使用といった行為は、企業にとって大きな損害を引き起こすリスクとなります。
この情報が流出した場合、悪意のある第三者は以下のような方法でこれを悪用できます。
- ユーザー追跡:IMEIと他のログ情報が結合された場合、特定ユーザーの端末移動経路や通信パターンを追跡することが可能になります。これはプライバシー侵害はもちろん、精巧なスピアフィッシングや標的型攻撃(APT)につながる可能性があります。
- 偽造端末制作:窃取したIMEI番号を複製・変造して、偽造された端末で通信網に接続できます。この場合、違法な通話、データ使用、セキュリティ網迂回などの行為が発生する可能性があり、後に責任の所在が明確でないため捜査と対応が複雑になります。
- 盗聴・通信傍受:特定IMEIを標的とした盗聴攻撃や、基地局偽装攻撃(rogue base station)などが可能になり、企業や公共機関関係者の端末が攻撃対象となるリスクも存在します。
そのため、IMEIのような端末識別情報は保存段階から暗号化が基本原則となるべきであり、送信時にもTLSなど強力な暗号化プロトコルを通じて保護されなければなりません。これを疎かにしたことは単純なミスではなく、情報保護原則に対する構造的理解不足、さらにはセキュリティガバナンスの課題とも見ることができます。
政府とSKテレコムの対応、および影響の範囲
政府とSKテレコムの対応
- 政府の対応:科学技術情報通信部は非常対策班を構成し、韓国インターネット振興院(KISA)と共に被害現況と事故原因を調査しました。また、ソウル警察庁サイバー捜査隊も捜査に着手しました。
- SKテレコムの対応:全体システム全数調査、違法USIM機器変更および異常認証試行遮断強化、被害疑い兆候発見時の即座利用停止・案内措置強化、無料USIM保護サービス提供などを実施しました。
- SKTの対応への批判:しかし、これらの措置にもかかわらず、SKTの対応は「不十分かつ遅延した対応措置」との批判があり、USIM交換時のシステム麻痺や、影響を受けた利用者に対するUSIM交換の妨害疑惑も報じられました。
影響の範囲:個人から国家レベルまで
今回のSKテレコムIMEI情報流出事件は、単純な個人情報流出にとどまりません。被害範囲が個人、企業、そして国家安保まで拡張される可能性のある重大なセキュリティ事件として認識されています。
1) 個人情報流出およびプライバシー侵害
今回流出した情報には、IMEI、IMSI、USIM固有情報などが含まれることがわかっています。これは端末ユーザー識別が可能であることを意味し、特定個人の移動経路や通信履歴追跡まで可能になります。
例えば、特定人物のIMEIが流出した場合、その人物の端末を標的とした攻撃(例:スパイウェア設置、通話盗聴、位置追跡など)が可能になります。USIM情報まで流出した場合、フィッシングやスミッシングを通じた通信会社偽装、認証番号窃取などの二次被害につながるリスクも大きくなります。
2) 企業セキュリティ侵害の可能性
IMEI情報を悪用すれば、企業役職員の携帯電話端末をターゲティングして内部網侵入の通路として活用できます。特にセキュリティが脆弱な企業の場合、以下のような経路で被害が発生する可能性があります。
- APT攻撃者が流出したIMEIで特定端末を識別後、該当端末ユーザーに悪性ファイル添付メール送信 → 標的型フィッシング攻撃
3) 国家安保および社会不安
最も懸念される部分は、流出したIMEI/USIM情報が政府機関、軍、捜査機関など主要人物の端末も含まれている可能性があることです。実際にSKテレコムは公共機関にも通信網と端末サービスを提供しているため、民間を超えて公共部門までの被害可能性が提起されています。
なぜ暗号化しなかったのか?セキュリティ上の課題
今回のSKテレコムの件は、単純なセキュリティ事故を超えて、基本的なセキュリティ原則である「暗号化」の不在がいかに致命的な結果を招くかを如実に示すケースです。特に、IMEI(端末固有識別番号)のような機密情報が暗号化されずに平文で保存されていたという事実は、セキュリティ上の大きな問題提起となりました。
セキュリティシステムの不十分な設計と管理
SKテレコムは2022年6月からマルウェアに感染していましたが、これを2025年4月になってやっと認知しました。これはセキュリティシステムの設計と管理が不十分だったことを示しています。
特に、IMEIのような機密情報が暗号化されずに保存されていたことは、基本的なセキュリティ原則が守られていなかった証拠です。
業界標準の不遵守
競合他社であるKTとLG U+は、すでにIMSI暗号化機能が適用された5G USIMを導入したり、PUF(物理的複製不可能関数)ベースの高セキュリティUSIMを商用化したりするなど、セキュリティ強化のための措置を取ってきました。
一方、SKテレコムはこのような業界標準に従わず、暗号化措置を適用しないまま運営してきました。
法的規制の不遵守
韓国の改正個人情報保護法では、「移動通信端末識別番号(IMEI)」を「固有識別情報」として明示的に含め、暗号化義務の対象としています。 また、通信事業者には最低2年間のアクセスログ保持が義務付けられているにもかかわらず、SKTは4カ月間しかログを保持していませんでした。このような規制不遵守が、結果的にセキュリティの死角を作り、今回の事態の原因のひとつとして指摘されています。
DX時代の必須要件は「データ暗号化」
デジタルトランスフォーメーション(DX)が加速する現代において、データは単純な情報ではなく、企業や国家にとっての重要な資産となっています。しかし、デジタル化が進むにつれて、セキュリティの脅威もかつてないほど拡大しています。今回のSKテレコムの事件が示すのは、セキュリティ対策の重要性だけでなく、データの真の価値と、それを守るための最終防衛線としての「暗号化」の役割を再定義するものです。
平文データ保存、その深刻な結果
前述したように、SKテレコムはIMEI、IMSI、個人識別情報を暗号化せずに平文で保存し、ハッカーはたった一度の侵入で数千万件の固有情報を簡単に確保することができました。もしこの情報が暗号化されていたら、流出しても内容を解読するのに膨大な時間とコストがかかり、ハッカーの立場では活用価値が著しく低下することになったでしょう。
データ暗号化ソリューション「D.AMO」
このような状況で注目されているのが、まさにデータセキュリティを軸にした暗号化ソリューションであるペンタセキュリティの「D.AMO」(ディアモ)です。D.AMOは日本、韓国、東南アジアなど国内外の金融機関、公共機関、通信会社などで広く活用されている構造化/非構造化データ暗号化プラットフォームで、以下のような強みを持っています。
- DB、ファイル、ログ、APIなどすべての階層の暗号化サポート
- 運用時の性能低下を最小化してリアルタイム暗号化・復号化
- ポリシーベースの鍵管理およびアクセス制御
- 内部者による流出にも対応可能なアクセスログおよび監査機能
特に通信会社のように大規模データをリアルタイム処理しなければならない環境でも、D.AMOは高性能暗号化エンジンと柔軟な鍵管理体系を通じて、運用効率とセキュリティを同時に確保できます。
暗号化は流出被害を軽減する盾
暗号化はハッキングを防ぐものではありません。しかし、ハッキングが成功しても、暗号化しておけば攻撃者の実質的な被害達成可能性をほぼ0に近く減らしてくれる最後の防御線です。つまり、D.AMOのような強力な暗号化ソリューションを事前に構築しておけば、以下のようなことが可能となり、保護すべきデータに対する強力な盾となります。
- 流出したIMEI/IMSI情報が実際意味のない暗号文として無力化
- 個人情報も鍵なしには解読不可能
- 内部流出事故にもアクセス制御および監査ログを通じた追跡が可能
まとめ
デジタルトランスフォーメーション(DX)が加速する現代において、データはもはや単純な情報ではなく、企業と国家の重要な資産です。しかし、デジタル化の進展とともに、サイバーセキュリティの脅威もかつてないほど増大しています。今回のSKテレコムの事例は、「内部システムだから安全」という過信がいかに致命的な結果を招くかを示しました。
もはや、データ保護における暗号化は「選択肢」ではありません。それは、DX時代を生き抜く企業にとっての「必須要件」です。企業は、今回の事件が示した「暗号化されていないデータとは、流出されうるデータをクラウド上に搭載することと何も変わらない」という教訓を肝に銘じ、 システムの在り方に関わらず、データ中心のセキュリティ戦略を確立し、強力な暗号化を導入することこそが、未来の脅威から資産と信頼を守る道なのです。