韓国国民の約半数に影響したSKテレコムへの侵害事例を考察～調査報告で言及されたマルウェア”BPFDoor”とは？

SKテレコムへのサイバー攻撃とは？

2025年4月、韓国最大の通信事業者であるSKテレコム（SKT: SK Telecom、以下SKT）^※は、約3年間にわたり自社の中核システムに潜伏していたサイバー攻撃による被害を公表しました。この攻撃により、約2,700万件^※のモバイル契約者に関連する機密データが侵害され、近年の重要インフラに対する攻撃の中でも特に長期かつ深刻な被害となりました。
韓国国民は現在約5,100万人いるとされ^※、概算でその約半数に影響が及んだ事案と言えます。
※外務省のデータより（2023年）。

今回のSKTの事例は、日本企業含む、通信、フィンテック、クラウドサービスなどデータを大量に扱う業界にとって、高度なネットワーク環境であっても執拗なサイバー脅威が脆弱性を突くことがあるという現実を改めて示しています。このインシデントは、韓国国内で規制当局の監視や消費者の批判を招いており、アジア全体での警鐘となっています。
※SKテレコム：韓国語の表記では、SK텔레콤。
※約2,700万件：韓国科学技術情報通信部の発表によると「加入者識別キー（IMSI）基準で26,957,749件」の漏洩の可能性に言及。

（参考情報）
・「SK텔레콤에서 알려드립니다（編集部訳: SKテレコムよりお知らせ）」（SK Telecom。2025年4月22日）
・「SKT, 사이버 침해 사고 불안 해소 위한 고객보호 조치 강화…유심 무료 교체 포함（編集部訳：SKT、サイバー攻撃によるセキュリティ侵害事故の不安を解消するため、顧客保護措置を強化…USIMカードの無料交換を含む）」（SK Telecom。2025年4月25日）
・「사이버 침해사고 관련 팩트체크（編集部訳：サイバー侵害のファクトチェック）」（SK Telecom。2025年5月2日）
・「단말기 고유식별번호(IMEI) 유출은 없었음（編集部訳：端末の固有識別番号（IMEI）の漏洩はなかった）」（韓国科学技術情報通信部。2025年4月29日）
・「민관합동조사단, SKT 침해사고 조사결과 2차 발표（編集部訳：官民合同調査団、SKTのセキュリティ侵害事故に関する調査結果の2次発表）」（韓国科学技術情報通信部。2025年5月19日）
・「SK텔레콤 침해사고 최종 조사결과 발표（編集部訳：SKテレコム侵害事件最終調査結果発表）」（韓国科学技術情報通信部。2025年7月4日）

SKテレコムへのサイバー攻撃被害事例のタイムライン

公式発表と報道を元に、SKTへのサイバー攻撃のタイムラインを振り返ってみましょう。

時期	出来事	概要
2021年8月6日	最初のマルウェア感染	攻撃者は、インターネットとの境界線に位置するシステム管理ネットワーク内のサーバに接続し、内部活動を行うためのリモートコントロールやバックドア機能を含むマルウェア（CrossC2）をインストールした。
2022年6月15日	中核サーバへのWebシェル感染	攻撃者は、加入者認証や位置情報を管理するSKTのHome Subscriber Server（HSS）にウェブシェルを仕込み、侵入。この侵害はおよそ3年間、発覚することなく持続。
2024年12月3日	SKT内に保管されていたログの最古期（これ以前のログはなし）	影響を受けたシステム上で活動のログ取得を行ったものの遡求できた日付は2024年12月3日まで。この日以前のデータは存在せず、初期調査段階では侵入時の侵害方法は不明であった。
2025年4月18日	SKT、システム上の異常を検知	午後11時20分頃、SKTは課金・利用状況監視のインフラ上で不審なログやファイル削除の兆候など、システム上での異常を確認（報道記事による）。
2025年4月19日	SKTへの侵害が判明	調査により、SKTのソウルのHSSインフラが侵害されていたことが判明。捜査当局は、認証、認可、位置情報を含む加入者データへの不正アクセスを確認。
2025年4月20日	SKT、被害を報告	SKTはこの侵害を韓国インターネット振興院（KISA）に正式に報告^※し、政府の監視下で大規模な調査が開始。 ※後述するMSITの最終報告書では、今回のようなインシデントの場合、「情報通信網法上、事故認知時から24時間以内に報告する必要があり、これを違反した場合、3,000万ウォン以下の過料が課される対象」となることが明記されている。
2025年4月28日	SKT、SIMカードの交換を開始	SKTは、侵害されたモバイル認証情報の悪用を防ぐため、顧客のSIMカード交換を開始。報道によれば、対象は2,300万人分。ただし、USIMカード不足により、迅速な対応は難航とされる。
2025年4月29日	韓国科学技術情報通信部（MSIT）、1次調査結果を公開	韓国科学技術情報通信部（South Korea’s Ministry of Science and ICT、MSIT）は調査の初期結果を発表し、IMEI^※番号の流出はなかったと発表（のちに訂正）。また、SKTのUSIMプロテクションサービスに加入しているユーザは、SIMスワッピング攻撃から保護されているとした。SKTの不正検知システムは、複製されたUSIMカードを使用した不正アクセスを引き続きブロックしているとのこと。また、侵害された環境からBPFDoorと呼ばれるマルウェアが4種類検出されたことが報告された。 ※IMEI（International Mobile Equipment Identity）：端末識別番号のこと。携帯電話などの機器を製造する際にメーカーによって組み込まれ、国際的に一元管理されている。 ※USIM（Universal Subscriber Identity Module）：携帯電話などの端末で使用されるICカードの1つ。主に契約者を識別するために用いられる。SIMの利便性やセキュリティ機能などの強化を目的に、3G以降の通信規格に対応するために開発された。
2025年4月30日	韓国警察、捜査開始	韓国警察は、この事件について捜査を開始し、侵害の実態や他の大規模なサイバー攻撃キャンペーンとの関連性を調査中。
2025年5月5日	SKT、新規契約者受付を停止	SKTは、新規契約者の受付を停止し、被害対応とSIMカード交換に専念することを発表（報道）。これまでに100万人以上の利用者がSIMカードを交換済みであると報じられている。
2025年5月19日	MSIT、2次調査結果を公開	調査チームは、SKTのシステム内で新たに8種類のBPFDoor系マルウェアを発見し、合計12種類となった。また、一部のサーバに一時保存されるIMEIが窃取された可能性についても公表した。新たに発見されたマルウェアが当初の感染サーバにとどまっていたのか、あるいはネットワーク全体に拡散していたのかについても調査が進められている。
2025年5月7日	SKTグループ会長、インシデントについて謝罪	SKグループ会長が、今回の大規模なデータ侵害について謝罪。
2025年7月4日	MSIT、最終調査報告書を公開	MSITが3回目となる最終調査報告書を発表。4万台以上のSKT内の全サーバを検査し、感染サーバ28台、悪意あるコードを33種確認したことを報告。 SKTの対応の遅れとセキュリティ体制の不備について指摘する内容。契約者の保護のための救済策や具体的なセキュリティ強化策を提示する内容。
2025年7月4日	SKT、顧客信頼回復のため施策を発表	SKTが、侵害発生後、月額料金を半額、一定期間内に契約解除する顧客への違約金免除、7,000億ウォンを投資する「情報セキュリティ革新計画」を発表。

SKTのインシデントで言及された「BPFDoor」とは？

今回のインシデント調査報告書でも言及された「BPFDoor（ビーピーエフドア）」は、バックドア型マルウェアの1つで、主にLinux環境を狙って開発されています。BPF（Berkeley Packet Filtering）と呼ばれるパケットフィルタリング機能を悪用し、セキュリティ製品の検知を逃れようとします（下記のブログ記事で詳細な方法を解説しています）^※。

※BPFDoorはリバースシェルを開くことで、攻撃者からリモートで送られてくる任意のコマンドを受け付ける。BPFDoorの稼働には、ルート権限が要求されるため、開始されるリバースシェルにも高い権限が付与される。

BPFDoorは、2021年頃から悪用が報告されており、標的型攻撃(APT）グループ「Earth Bluecrow（アースブルークロウ、別名：Red Menshen）」が悪用することで知られています。トレンドマイクロが検知したテレメトリデータによると、BPFDoorを用いる攻撃者は、アジア・中東・アフリカ（AMEA）地域の企業や組織を対象に攻撃活動を行っています（下表参照）。

時期	国	業界
2024年12月	韓国	電気通信
2024年12月	ミャンマー	電気通信
2024年10月	マレーシア	小売
2024年9月	エジプト	金融サービス
2024年7月	韓国	電気通信
2024年1月	香港	電気通信

表：2024年にBPFDoorに狙われた企業や組織の所属する国と業界の例

BPFDoorのソースコードは、2022年にソフトウェア開発プラットフォーム「GitHub」上に公開されており、現時点では、今回のSKTのインシデントにEarth Bluecrowが関与したかどうかは定かではありません。

（参考記事）
・BPFフィルタを不正利用するバックドア型マルウェア「BPFDoor」の亜種を発見（2023年9月）
・コード実行を支援する技術「BPF」を悪用して動作するマルウェアの仕組みを解説（2024年3月）
・BPFフィルタを悪用するバックドア型マルウェア「BPFDoor」のコントローラを初確認：AMEA地域を狙う国家背景の標的型攻撃者集団「Red Menshen（別名：Earth Bluecrow）」による攻撃の可能性（2025年5月）

通信事業者および重要インフラ運用者にとっての意味

今回のSKTのセキュリティインシデントは、単一の企業や国を超えたシステム上の脆弱性を浮き彫りにしました。通信ネットワーク、クラウドプラットフォーム、公共サービスなど、中核的なデジタルインフラを運用する事業者にとって、この被害事例は、長期間潜伏するサイバー上の脅威がセキュリティアーキテクチャを危険に晒す可能性を示しています。ここから学ぶべき重要な教訓として以下が挙げられます。

ステルス性と攻撃の継続性が標準的な防御を上回る可能性

SKTの中核サーバにマルウェアが約3年間潜伏していた事実は、高度なサイバー攻撃者が、極めて機密性の高いシステム内で長期的にアクセスを維持できることを示す顕著な事例と言えます。これまでのセキュリティ監視体制では、境界防御や異常検知の量が重視されがちでしたが、攻撃のためのリソースをふんだんに持ち、ゆっくりと静かに動く”時間的余裕”のある攻撃者には、それらが通用しない場合があります。

特に重要インフラ事業者は、水平方向のトラフィックの監視方法、システムやデータの完全性の検証を再考する必要があります。

重要インフラの運用関連データの精査を

攻撃者は、モバイル認証やアクセス制御に使用されるIMSIや暗号キーなど、USIM認証データを標的にしました。これは単なる個人情報（PII）ではなく、インフラの運用で用いられる重要なデータでもあります。この種のデータにアクセスされると、SIMスワップ詐欺、ユーザのなりすまし、通信の傍受、サービスのリダイレクトなどが実行される可能性があります。重要インフラ事業者にとって、この侵害は、顧客向け資産だけでなく、重要システムの運用に関わるデータを分類・保護する重要性を再認識させるものとなりました。

検知と情報開示の遅れがリスクを増幅する

SKTは2025年4月18日に初めて不審な活動に気づきましたが、侵害の全容を確認するまでに数日を要し、全面的な謝罪を行うまでに2週間以上の時間を要しています。MSITの最終調査報告書では、SKTの対応遅れについても指摘があります。特に重要インフラと見なされる業界では、対応が遅かったり不透明であったりすると、単に被害の拡大を招くだけでなく、信用失墜や厳しい制裁を招く可能性が高いでしょう。企業は、封じ込め、情報開示、外部との連携を含むクロスファンクショナルな対応計画を整備し、迅速かつ的確に行動できるように備える必要があります。

業務の混乱はITシステムの範囲を超える

2,300万枚のSIMカードの交換は、サイバーセキュリティ上の課題であると同時に、物流上の危機でもありました。SKTが5月5日に新規契約受付を一時停止した事例は、デジタルの脅威がオペレーションのボトルネックを引き起こし、カスタマーサービスに負担をかけ、サプライチェーンの不足につながることを示しています。

この大きな混乱は、サイバーセキュリティインシデントを含む事業継続計画を、物理的な在庫管理から顧客対応のワークフローまで統合的に構築する必要性を浮き彫りにしています。

日本企業が学ぶべき”教訓”

今回のSKTの侵害は韓国で発生したものですが、その影響は広範に及び、特に機密性の高い顧客データを管理したり、重要なデジタルインフラを運用したりする日本企業にとっても深い意味を持ちます。日本の通信、クラウド、金融業界も、レガシーシステムへの依存、サードパーティソフトウェアの利用、そして国境を越える脅威活動といった、同様の構造的課題を抱えています。

境界防御の限界

SKTの攻撃者は内部インフラを悪用しました。日本企業も、内部システム間の水平方向の内部トラフィックを境界越しに来るトラフィックと同様に厳密に監視する必要があります。ネットワークのセグメンテーション、ゼロトラストのアプローチによるアクセス制御、継続的な内部の異常検知が重要です。

万が一の検証ためのログの保管期間の検討

今回のSKTの事例において2022年から2024年にかけて何が起きたかを検証できなかったのは、ログが不足していたことが直接の原因でした。重要なシステムでは、万が一の際の検証に十分な期間のテレメトリとアクセスログを保持しているか確認する必要があります。

封じ込めだけでなく業務継続計画を立てる

SIMカード交換は必要な被害の封じ込め策でしたが、SKTの供給制約が実行上の課題となりました。事業継続計画は、ITにとどまらず、物流、カスタマーサービス対応、外部コミュニケーションまで包括的に設計することが必要です。

規制当局および公衆との透明性のあるコミュニケーション

情報開示の遅れは、消費者の不信感や規制当局の監視を招く可能性があります。個人情報保護委員会など監督官庁や警察との早期連携、タイムリーかつ明確な情報提供を行うことで、セキュリティインシデントがもたらすによるブランド棄損や風評被害を最小限に抑えることができるでしょう。

最後に

SKTのセキュリティインシデントは、アジアのみならず、全世界の重要インフラ運用者に対する警鐘です。用意周到でリソースの豊富なサイバー攻撃者が、最も厳重に守られている環境にさえ侵入し、長期間にわたり潜伏できる現実を示しています。そして、社内プロセスの遅さが被害をさらに拡大させる可能性も明らかになりました。

多くの企業にとって、今回の事件は自らを省みる機会でもあります。現在のセキュリティ投資は、侵入してきた脅威を水際で防ぐことに偏ってはいないでしょうか。侵入が防げなかった場合にも、検知・対応する備えは十分でしょうか。
今回のような事例を参考に、自組織のサイバーセキュリティの在り方を問い続ける姿勢こそが、被害を最小限に抑えるための重要な要素なのかもしれません。

監修

佐藤健

トレンドマイクロ株式会社
シニア・スレット・リサーチャー

ソフトウェア開発会社でシステム開発・設計に携わった後、2007年、トレンドマイクロ株式会社に入社。日本地域に密着したRegional TrendLabsの設立メンバーとして、日本固有の不正プログラムを収集・解析し、それらに対応するソリューションの提供を専門に行う。2013年よりサイバー攻撃レスポンスチームに所属し、インシデントレスポンスやビッグデータを活用した脅威動向リサーチ等による顧客サポートを担当。現在はサイバー空間の脅威を解析するチームに所属し、国内の官公庁や企業を中心に情報提供を実施。

主な講演実績：経済安全保障・サイバー攻撃対策企業セミナー（2022年）、愛知県サイバーテロ対策協議会総会（2022年）、近畿管区警察局サイバーセキュリティ研修会（2025年）、その他、愛知県警察学校・近畿管区警察学校における講義など。