韓国の通信大手<SKテレコム>で、大規模な情報漏洩事件があった。個人情報漏洩件数約2,500万人分は、韓国に人口の半分ほどにあたる。ただ氏名・住所が漏れただけでなく、利用者のSIMカード情報が盗られたというのは一大事だ。SIMカード情報には、
・利用者ID
・端末機ID
・本人認証キー
が含まれているから、容易に携帯電話のコピーが作れてしまう。日本と同様、決済などの際に本人認証も目的でショートメッセージ等が送られてくるのだが、携帯電話が丸ごとコピーされていれば、利用者に成りすまして認証を潜り抜けることができてしまう。現実に、口座から数千万円引き出だされてしまったという被害も出ている。
<SKテレコム>では、利用者のSIM交換などを始めているようだが、被害はどこまで広がるか、補償しきれるのかは不透明だ。インシデントの事後処置はもちろん重要だが、では事前準備はどうだったのかの検証も必要。これに関しては、重大な経営問題があったとこの記事が伝えている。
韓国国民「デジタル強国」のプライドが失墜…!SKテレコム「個人情報」ハッキング事件のお粗末すぎる対応(金 敬哲) - 3ページ目 | 現代ビジネス | 講談社
私が10年前に経団連のサイバーセキュリティ会合の取りまとめを引き受けた時、企業のセキュリティに関する努力を外部から見えるようにしたいと考えた(*1)。具体的には投資が分かりやすく、所属するシンクタンクでは「DXに積極的な企業であれば総売り上げの0.5%はセキュリティ予算に充てるべし*2」との提言もしている。
今回<SKテレコム>はどうだったのかというと、
・同業の<Kテレコム>に対して、利用者は約2倍なのに、セキュリティ投資は約半分
・リスクが増しているのに、投資を増やすどころか4%ほど削減している
では、言い訳のしようがあるまい。上記の記事では、同業の2社(KT、LGU+)はサイバー被害経験があるが、<SKテレコム>は目立った被害がこれまでなかったとある。「もって他山の石とすべし」、日本のインフラ事業者も再度自社のセキュリティ投資を見直していただきたいものだ。
