SKテレコムが個人情報流出事故に続き、虚偽の流出主張にまで対応しなければならない二重の負担を抱えている。最近、ダークウェブでSKテレコムの顧客情報を販売する趣旨の投稿が相次いで上がった。しかし業界では、当該情報は実際の流出データというより、人工知能(AI)や自動化ツールを活用して組み合わせた偽の個人情報サンプルである可能性が高いと見ている。
問題は、消費者不安が高まった隙を突いて企業名を悪用した「流出詐称スキャム」が拡散している点である。これにより企業のセキュリティリスクは侵害事故の収拾にとどまらず、評判毀損、顧客問い合わせの急増、二次被害の遮断などへ広がっている。実際の流出事故がサイバー犯罪勢力の詐称手段として悪用され、企業の危機対応の範囲も一段と広がっている。
30日業界によると、26日にはダークウェブやソーシャルメディア(SNS)などに「SKテレコム顧客情報2100万件を販売する」という趣旨の投稿が上がった。投稿者は、顧客ID、名前、電話番号、メール、住所、生年月日、加入日などが含まれていると主張した。一部の投稿には、SKテレコムが対応しなければ顧客データや管理者アクセス権限を公開するという類いの脅迫的な文言も盛り込まれたと伝えられた。
しかしSKテレコムは実際の顧客情報流出ではないと線引きした。SKテレコムの社内ホワイトハッカーで構成されたレッドチームが当該投稿とサンプルデータを自社で検証したためだ。SKテレコム関係者は「顧客情報データ流出は事実無根であることを確認した」と説明した。
セキュリティ業界でも今回の投稿を実際の流出というより「流出詐称スキャム」に近い事例と見ている。名前、電話番号、メール、住所、加入日のように見える項目は、生成AIや自動化ツールで比較的容易に組み合わせられる。見た目は顧客データベースの一部のように見えるかもしれないが、詳しく見ると存在しない住所、反復的なメール形式、過度に規則的な電話番号の並び、実際の企業内部システムと合致しないフィールド構造などが露呈する場合が多い。
問題はSKテレコムがSIMカード情報流出事故を経験した点である。実際の事故があったため、「追加流出」という主張だけでも消費者不安は高まらざるを得ない。犯罪者が狙うのもまさにこの点である。完全な顧客データベースがなくても、企業名、数行のサンプル、テレグラムのチャットルーム、ファイル一覧の画面さえあれば、大規模流出のように見せかけることができる。実データがなくても金もうけの手段になるというわけだ。
SKテレコムを狙った虚偽のデータ販売主張はこれまでもあった。昨年9月にも国際ハッカー組織を自称するグループがテレグラムでSKテレコムの顧客情報2700万件を奪取したと主張した。しかしSKテレコムは当時、サンプルデータとウェブサイトのキャプチャ、FTP画面などを分析した結果、自社に存在しないウェブサイトが含まれており、実際にSKテレコムのシステムから流出した情報とは見なし難いと反論した。
過去には実際の侵害有無と流出規模を確認することが核心だったが、いまは偽の流出主張まで迅速に検証しなければならない。検証が遅れるほど、虚偽の主張が実被害のように広がり得る。
消費者の二次被害にも警戒が必要だ。偽の販売投稿自体は虚偽であり得るが、これを餌にしたフィッシングやスミッシングは実被害につながり得るためだ。攻撃者は「個人情報が流出した」「本人確認が必要だ」「セキュリティ措置を講じる必要がある」といったメッセージで、リンクのクリックや追加情報の入力を誘導する可能性がある。実際の流出事故直後は消費者の不安と警戒心が同時に高まる分、この種のメッセージに揺さぶられる可能性も高まる。
今回の事例は、個人情報流出事故の後遺症が一度のハッキングで終わらないことを示す。実際の事故が発生すると、その上に偽のデータ販売、企業名の盗用、脅迫的なメッセージ、フィッシング試行が重なる。AIと自動化ツールが偽の個人情報サンプルを作るコストを下げるなかで、企業はいま「何が実際に流出したのか」だけでなく「何が流出したかのように捏造されたのか」まで確認しなければならない状況に置かれた。IT業界関係者は「企業セキュリティの範囲が実侵害対応から虚偽流出主張の遮断と消費者不安の管理にまで広がっている」と述べた。