スマートフォンのハッキングには主にスミッシング(Smishing)と呼ばれる手法が用いられる。スミッシングとは、携帯電話のショート・メッセージ・サービス(SMS)と電話詐欺を意味するフィッシング(Phishing)の合成語だ。
最も広く知られているスミッシングの技術は、子どもの1歳の誕生日や結婚式の招待状を装ったSMSを送信するものだ。知人名で送られてきたSMSを何も考えずクリックすると、不正アプリがスマートフォンにダウンロードされる。韓国国内の情報保護対策業務を統括する機関「韓国インターネット振興院(KISA)」は、昨年通報を受けた不正アプリの98%以上がSMSを通じ流布されたものだと明らかにしている。
しかし、国家情報院は今回のハッキングについて、スミッシングではなくウェブサイトを直接通じて不正アプリを流布する方法が使われたとしている。過去にも同様の方法によるハッキングがあった。例えば、KISAは今年1月、スマートフォンで特定サイトに接続すると、「スマートフォン必須セキュリティー更新プログラム。Playストアをダウンロード」というメッセージがポップアップし、「OK」をクリックすると不正アプリがインストールされることを確認した。普段から利用されているサイトを誰かがハッキングし、不正アプリの拡散ツールとして使用しているというわけだ。
不正アプリはスマートフォンに保存されている知人の名前・電話番号・メールアドレスや写真、公認認証書(公認認証機関が発行する電子商取引用の印鑑証明書)などを盗んでハッカーに送信することができる。簡単に言えば、スマートフォンに入っている情報なら全て盗めるということだ。さらに、スマートフォンの音声通話の盗聴やSMSのやり取りを盗む不正アプリもある。