続出する「金目当てのハッキング」にもセキュリティ基準強化を躊躇う韓国政府
ビットサム、従業員のPCハッキングされ情報流出
宿泊検索会社、ウェブ・ホスティングサービスのハッキングも人災
「あちこちハッキングされているけど、(これらのサイトを)利用しても大丈夫かな?」
最近、金目当てのハッキングが相次いで発生し、インターネットサービス企業はもちろん、利用者らも不安を感じている。国内の中小インターネットサービス企業とベンチャー企業が、セキュリティが脆弱であるうえ、(ハッカーに)簡単に金銭を渡していることが知られ、これらの企業を対象にした「金目当てのハッキング」が横行している。「攻撃を受けたくなければ金を出せ」という脅迫状まで届いている。
4日、ハッキング被害事例を見てみると、国内最大の仮想通貨取引所である「ビットサム」(bithumb)や宿泊検索会社「ヨギオテ(ここはどう)」、ウェブ・ホスティングサービス事業者の「インターネット・ナヤナ(私よ私)」など様々だ。ビットサムは最近、会員の個人情報が大量に流出されており、一部の会員は取引所内の仮想口座(財布)にチャージしておいた金が引き出される被害まで被った。ハッカーがこの会社の職員の自宅PCをハッキングし、会員個人情報が含まれている文書ファイルを抜き取ってから被害者らを相手に振り込め詐欺を働き、仮想口座から金を引き出したことが分かった。
ビットサムが事態を把握して、捜査機関と情報保護機関に申告し、ホームページにも公示したが、すでに被害が発生した後だった。ビットサムの会員たちによると、100人以上の仮想口座から数百万ウォン(数十万円)から数億ウォン(数千万円)まで流出したものと推定される。ビットサムは、個人情報流出被害者を3万人程度と推算したが、会員が70万人以上で1日の取引額が7千億ウォン(約688億円)に達することからすると、被害者がさらに増える可能性もある。
モーテルやペンションのような宿泊施設を検索して予約できる「ヨギオテ(ここはどう)」ハッキングの件は、敏感な個人情報を公開すると脅して、お金を要求したケースだ。会員91万人以上の個人情報や宿泊予約情報などを抜き取って、金を要求し断わられと、ショートメールを発送する会社の電算システムをハッキングし、宿泊予約者らに「○月○、○○モーテルでいい夜を過ごしましたが」というメールまで送った。
中小企業を対象にウェブ・ホスティングサービス事業をする「インターネット・ナヤナ(私よ私)」に対するランサムウェア攻撃は、中小企業の情報を“人質”に、金額交渉までして金銭を要求したケースだ。ハッカーは同社サーバーに保管されていた主要ファイルを暗号化してウェブ・ホスティングサービスが作動しないようにした後、「暗号の解除(復号)キーをもらいたいなら、金を出せ」と脅迫した。当初5億ウォン(4917万円)を要求していたが、時間が経つと共に、50億ウォン(4億9175万円)まで引き上げた。「インターネット・ナヤナ」はハッカーと交渉を行い、13億ウォン(1億2785万円)を支払って暗号解除キーをもらったものの、まだ100%復旧していない。同社代表は、金銭を工面するため、持ち株まで担保に入れた。
このような事例は、ハッカーが金目当てでセキュリティが脆弱な中小ネットサービス事業者を選んで攻撃したという共通点がある。放送通信委員会と韓国インターネット振興院(KISA)の合同調査の結果によると、「ヨギオテ」と「インターネット・ナヤナ」は最小限のセキュリティ基準すら守っていないことが分かった。ビットサムのハッキングの件はソウル中央地検先端犯罪捜査1部と警察庁サイバー捜査隊が放通委・インターネット振興院とともに調査を行っている。
セキュリティ専門家らは「セキュリティを投資ではなく費用と認識し、おろそかにしていたのが大きな原因」だと指摘する。政府がセキュリティの重要性を認識できなかったため、このような事態を招いたという指摘だ。グローバル企業のセキュリティ責任者として働くCさんは「インターネットサービス事業者のセキュリティは、建設現場における安全以上に重視されるべきだが、政府はこれまで『規制を増やす』とか『ベンチャー企業を殺そうとする』などと批判されるのを恐れて、セキュリティ基準を強化してセキュリティに対する投資を義務化することに消極的だった」と批判した。
緩いセキュリティ基準は、ハッキングで個人情報流出被害を受けた利用者たちが、きちんと補償してもらえない障害として立ちはだかっている。進歩ネットワークセンターの活動家、チャン・ヨギョン氏は「顧客の個人情報を流出したにもかかわらず、政府が定めたセキュリティ基準を守ったから、私たちは責任がないと言い逃れするケースが多い。このため、利用者たちが被害を補償してもらうのに困難がある」と話した。
人と物はもちろん、情報までつながる第4次産業革命時代では、セキュリティの重要性がさらに高まる。このため、セキュリティに対してだけはベンチャー企業とスタートアップにも例外を設けてはならないという指摘が多い。個人情報を守る能力と意志がないなら、収集もできないようにするべきということだ。にもかかわらず、該当業界は「規制で解決しようとしている」と反論している。
訳H.J(2413字)
