11月6日、ソウルにあるKT本社(c)news1
11月6日、ソウルにあるKT本社(c)news1

【11月12日 KOREA WAVE】韓国の大手通信会社KTを巡る大規模なハッキング事件が、通話やテキストメッセージの傍受の可能性にまで拡大し、波紋が広がっている。韓国の科学技術情報通信省と民間専門家による合同調査団は11月6日に中間調査結果を発表し、KTが2024年3月から7月にかけてマルウェア「BPFドア」や「ウェブシェル」に感染した43台のサーバーを発見しながらも、政府に通報せず独自に処理していたと明らかにした。

また、調査では、KTが使用する全ての小型移動通信基地局(フェムトセル)が同一の認証書を使用していたことも判明。この認証書をコピーすれば、不正なフェムトセルでもKTの内部ネットワークに接続できる構造になっていた。

特に問題視されているのは、フェムトセルを通じた認証情報の盗み取りだ。合同調査団は、犯行グループが少額決済に必要なARSやSMSによる認証情報の暗号を解除し、これらを盗み取ったと分析している。これらの情報は「終端暗号化」によって保護されるはずのもので、通常は端末から通信網の中核であるコアネットワークまでの区間が暗号化される仕組みだ。

しかし、今回の事件では、犯人がこの「終端暗号化」を無効化し、認証情報を平文の状態で盗んだとされる。これにより、認証情報だけでなく、通常のメッセージや通話内容までもが傍受された可能性が浮上している。

順天郷大学情報保護学科のヨム・フンヨル教授は「ハッカーがフェムトセル基地局に侵入し、暗号を解除する『ダウングレード』を企てたのであれば、一般メッセージの盗聴や通話の盗聴も可能だったはずだ」と指摘している。

仮に通話やテキストメッセージの内容まで盗まれていたとすれば、今回の事件の深刻性はさらに増す。国家安全保障や特定産業の機密情報がターゲットとなっていた可能性もある。事件初期から、単なる少額決済情報だけでなく、より広範な情報収集を目的とした計画的な犯行だったとの見方も根強く存在していた。

(c)news1/KOREA WAVE/AFPBB News