昨年、韓国の通信会社・カード会社・流通企業を襲った連鎖的なハッキング事故が、大規模な個人情報流出を超えて庶民の金融資産を精密に狙い撃ちする「知能型フィッシング犯罪」の起爆剤になったとの分析が出ている。
人工知能(AI)セキュリティ企業のEVERSPINは、自社の悪性アプリ検知ソリューション「フェイクファインダー(FakeFinder)」の昨年のデータを精密分析した結果、昨年発生した大規模データ流出事態がフィッシング犯罪の体質を完全に変えてしまったと、26日に明らかにした。
分析結果によると、昨年の悪性アプリ検知件数は92万4419件で、前年(104万件)比で約11%減少した。しかしEVERSPINは、これは肯定的なシグナルではなく「脅威の高度化」だと診断した。
EVERSPIN関係者は「過去には不特定多数に無作為でアプリのインストールを誘導する『量的攻勢』が主流だったが、昨年は流出した情報を土台に、だまされるしかない人物だけを選んで攻撃する質的な打撃へと犯罪様相が急変した」と述べ、「ハッキングで確保した実名、電話番号、詳細な購買履歴などのデータが、ハッカーに確実なターゲティングと攻撃ガイドラインを提供したためだ」と語った。
こうした流れは細分類別のデータに表れる。伝統的なボイスフィッシング手段である「電話乗っ取り」類型は前年対比24.1%減少(37万→28万件)し、単純な「なりすましアプリ」も30%減少(45万→32万件)した。これは「検察です」といった電話や見え透いた機関なりすましには、ユーザーがもはや簡単には引っかからない事実を示す。
一方で、スマートフォン内の機微情報を盗み出す「個人情報窃取」類型の悪性アプリは前年対比53%も急増(21万→32万件)し、最大の脅威として浮上した。
EVERSPINは、これを流出した個人情報を実際の犯罪に悪用するための必須手順とみている。ハッキングで確保した情報だけでは金融会社の二次認証などを突破するのが難しいため、「SMS認証番号」や「身分証画像」など、より完全な情報まで確保するべく、悪性アプリを通じた個人情報窃取に総力を挙げたという説明だ。
実際に攻撃者は、流出した詳細な注文履歴をエサに「配送先誤りの修正」などを求めて接近し、被害者の疑念を避けつつアプリをインストールさせた。このように侵入した悪性アプリは通話機能よりも、SMS、連絡先、フォトアルバムなどの権限を奪取し、金融認証を迂回できるデータを収集するために用いられた。
EVERSPIN関係者は「2025年のハッキング大乱は、ハッカーに『どのようなアプリを作れば犯罪が成功するか』を教えたガイドラインに等しかった」と述べ、「ハッキングで確保した一次データを基に、二次の核心情報を窃取するために設計された『情報窃取アプリ』が猛威を振るった一年だった」と説明した。