4月18日にSKテレコムを狙ったサイバー攻撃により顧客のSIMカード情報が漏洩した可能性が浮上し、韓国で懸念が広がる中、専門家はサイバーセキュリティと個人情報保護に関する規制強化の必要性を訴えている。
SKテレコムのリュ・ジョンファン副社長は国会科学情報放送通信委員会の公聴会で、マルウェアがシステムに侵入した時点でSIMカードのデータは暗号化されていなかったことを認めた。
リュウ氏は、SIMカード情報の暗号化は現在、法律で規制されていないと付け加えた。現行法では、USIMチップに保存されている国際移動体加入者識別番号(IMSI)と加入者認証キーの暗号化は義務付けられていない。
現在、韓国では「個人情報保護保証基準」に基づき、住民登録番号(身分証明書番号に類似)、パスポート番号、運転免許証番号、外国人登録番号(在留カード)、クレジットカード番号、銀行口座番号、生体認証情報など、特定の7種類の個人情報についてのみ暗号化と保管が義務付けられています。
しかし、情報技術の急速な発展に伴い、モバイルネットワーク事業者やプラットフォーム企業がサービス提供の過程で収集する情報の範囲はますます拡大しており、サイバー攻撃者にとって魅力的な標的となっている。
韓国科学技術省は、国家情報院と韓国インターネット振興院(KISA)が共同でSKテレコムのSIMカード情報漏洩の重大性を判断するための包括的な調査を実施したと発表した。
科学技術情報通信部の資料によると、4月18日に攻撃を受けたSKテレコムのホーム加入者サーバー(HSS)システムと加入者認証キー保存システムは、国家の重要情報通信基盤に指定されておらず、特別な保護を必要としない。
これまでで最も深刻なSIMカード情報漏洩とされる事件を受けて、韓国最大の携帯電話会社SKテレコムは、全国の加入者全員に無料のSIMカード交換サービスを提供した。
SKテレコムは現在、約2,300万人の加入者にサービスを提供しており、さらに自社のネットワーク上で運営する仮想移動体通信事業者(MVNO)を通じて187万人のユーザーを管理している。
SKテレコムの発表によると、漏洩した情報は主に電話番号やデバイス識別子(IMEI)などユーザーのSIM(USIM)カードのデータだった。
同社は、漏洩したデータの中にID番号、生年月日、決済口座番号などの機密性の高い情報は含まれていなかったことを確認した。
しかし、科学技術情報化部は、他の個人情報が盗まれたかどうかの確認を続けている。
順天郷大学情報セキュリティ学部のヨム・フンヨル教授は、通信事業者のリアルタイムデータ処理要件により暗号化が困難になる可能性があると述べた。
しかし、今日のコンピューティング性能の劇的な向上により、適切なレベルで暗号化を適用することが必要になると考えられます。
特に、情報通信網保護法や同法施行令の改正を通じて、モバイルネットワーク事業者のサーバーシステムを政府のセキュリティ分析に含める必要がある。
SKテレコムへのサイバー攻撃は、ハッカーが侵入し同社の2,300万人の携帯電話加入者の一部の情報を漏洩したもので、韓国で記録された情報漏洩事件の中で最も深刻なものの一つと考えられている。
この事件を受け、韓国科学技術情報通信部は緊急対応チームを急遽設置し、韓国インターネット振興院(KISA)と連携して4月22日にSKテレコム本社で調査を実施した。
このサイバー攻撃は世論に大きな懸念を引き起こしている。
韓国金融監督院は、銀行や関連金融機関に対し、従来のモバイル認証方式に加えて追加の認証方式の使用を検討するよう勧告した。
一部の保険会社もSKテレコムのユーザーに関連したモバイルデバイスベースの認証サービスを一時停止している。
出典: https://www.vietnamplus.vn/han-quoc-lo-bao-mat-thong-tin-gia-tang-sau-vu-tan-cong-mang-vao-sk-telecom-post1036454.vnp
コメント (0)