LG U+の加入者識別番号(IMSI)設計のセキュリティをめぐる論争が「全顧客のUSIM交換」問題へと広がり、政府が新規加入の停止に踏み切るべきだとの意見が出ている。ただし業界内外では、実際に新規加入停止という強力な行政措置に発展する可能性は高くないとの見方が優勢だ。
25日、業界によると、科学技術情報通信部は20日、「LG U+のIMSI設計セキュリティ論争」に関連し、国民の力のキム・ジャンギョム議員室に対面報告を行い、「SKテレコムの新規加入停止の前例を参考にし、LG U+についても新規加入停止を検討できる」という趣旨の立場を示したとされる。
今回の論争の核心は、LG U+が顧客の電話番号情報を反映したIMSI体系を長期間使用してきた点にある。IMSIは端末が移動通信網に初めて接続する際に用いる加入者識別番号で、通常は外部で識別値が捕捉されても特定個人に直ちに結び付かないよう乱数ベースで設計する。しかし通信大手3社のうちLG U+のみが異なる方式の体系を運用してきたと把握されている。
LG U+は来月13日から全顧客を対象にUSIM交換またはソフトウエアのセキュリティ更新を支援するとの後続対策を打ち出した。科学技術情報通信部が試算した対象は、LG U+加入者約1100万人にセカンドデバイス150万回線、格安スマホ(MVNO)400万〜500万回線を加えた最大1700万人規模だ。利用者規模だけ見ても影響は小さくない。
LG U+は昨年4月のSKテレコムのハッキング事故以降、自主点検に乗り出し、同年6月ごろ自社IMSI体系の乱数化の必要性を社内で認識したと伝えられている。会社側はこれを踏まえ、昨年下半期からソフトウエアのセキュリティ更新とUSIM交換を準備してきたと説明する。ただし業界の一部では、半年以上にわたり後続対策を準備してきた会社が、既存システムとの連動・統合の問題などを理由に来月13日まで準備期間が必要だと明らかにしたのはやや矛盾しているとの指摘も出ている。
利用者の不便と混乱が避けられない以上、暫定的に新規加入を止めるべきではないかとの声も強まっている。来月中旬まで問題となったIMSI方式が維持される以上、現時点での新規加入の顧客は再び新しいUSIMに交換しなければならない二重の負担を抱えかねないということだ。
しかし政府が実際に新規加入停止という強硬策を取るのは容易ではないというのが業界の大勢の見方だ。IMSIの10桁をどのように設計すべきかについて、現行法令に明確な強行規定がないためだ。事業者の自律領域に近い事案をめぐり、現段階で違法性を断定するのは難しいという話である。SKテレコムの事例とLG U+の件は事案の性質が異なるとの評価も多い。SKテレコムは実際のハッキングに伴うUSIM情報流出とUSIMの供給不足が重なり、政府が新規加入停止を求めた事例だ。これに対しLG U+は、IMSI設計の妥当性およびセキュリティ上の懸念と、新規加入者のUSIM再交換の負担が核心争点だということだ。
市場では今回の論争とは別に、LG U+の財務諸表が当面大きく揺らぐことはないと見ている。Korea Ratingsは19日、LG U+の信用格付けをAAからAA+へ引き上げ、「USIM交換コストの発生などの影響については確認が必要だが、競合の先行事例と拡大した加入者基盤を勘案すれば、急激な財務ファンダメンタルズ毀損の可能性は低い」と判断した。
カギは、政府が実際に新規加入停止という行政措置に踏み出すのか、それともLG U+のUSIM交換とリモート更新計画を見守りつつ対応の強度を調整するのかにかかっている。科学技術情報通信部の関係者は「具体的なハッキング事故が発生し、USIMが不足していたSKテレコムの事例とは異なる面がある」とし、「現状ではLG U+の新規加入停止を具体的に検討する段階ではないと承知している」と述べた。