概要:チェック・ポイントのリサーチ・チームは現在、独自の調査活動の一環として、北朝鮮の国産アンチウイルス・ソフトウェア「SiliVaccine」の解明調査を進めています。このソフトウェアの最大の特徴は、コードの主要なコンポーネントが、日本のセキュリティ企業トレンドマイクロが提供する10年以上前のアンチウイルス・ソフトウェアからそっくりそのままコピーしている点です。

不審な電子メール

調査を開始するきっかけとなったのは、北朝鮮のテクノロジー動向を追跡するフリー・ジャーナリストMartyn Williams氏から、非常に珍しいSiliVaccineの提供を受けたことです。Williams氏は、2014年7月8日、「Kang Yong Hak」を名乗る人物から、同ソフトウェアのダウンロード・リンクが記載された不審なメールを受け取りました。この人物のメール・アドレスはその後、不達となっています。

日本のエンジニアと思われる「Kang Yong Hak」氏から送られてきたこの奇妙な電子メールには、Dropbox上のZipファイルへのリンクが記載されていました。Zipファイルには、SiliVaccineソフトウェア、その使用方法を韓国語で説明したreadmeファイル、ソフトウェアのアップデート・パッチとされる不審なファイルが含まれていました。

トレンドマイクロのウイルス対策スキャン・エンジン

SiliVaccineの中核となるファイル検査機能を提供するエンジン・ファイルに対し、チェック・ポイントのリサーチ・チームが詳細なフォレンジック分析を実施したところ、そのコードのかなりの部分が10年以上前のトレンドマイクロの所有物であることが判明しました。トレンドマイクロは、SiliVaccineとは完全に無関係な日本のサイバーセキュリティ企業です。SiliVaccineの開発者がトレンドマイクロのコードを流用できたということは、トレンドマイクロの市販製品からコンパイルされたライブラリまたソースコードにアクセスできたということを意味します。この問題が大いに懸念されるのは、どちらのコンポーネントもトレンドマイクロの所有物であり、一般に公開されているものではないからです。

アンチウイルス・ソフトウェアの目的は、言うまでもなく、シグネチャが存在する既知のマルウェアをすべてブロックすることです。しかし、SiliVaccineを詳しく分析したところ、同ソフトウェアは、通常ならブロックされるべき1つのシグネチャ(実際にトレンドマイクロの検出エンジンではブロックされるシグネチャ)を見逃すように設計されていることが分かりました。このシグネチャがどのマルウェアに対応したものであるかは明らかになっていませんが、北朝鮮政府が、そのマルウェアの存在をユーザに認識されたくないと考えているのは確かでしょう。

バンドルされたマルウェア

アップデート・パッチとされるファイルの実体は、JAKUマルウェアであることが判明しています。このマルウェアは、SiliVaccineに必須のコンポーネントではありませんが、Williams氏のようなジャーナリストを攻撃する目的でZipファイルに同梱されていた可能性があります。

JAKUは、耐障害性に優れたボットネットの構築に利用されるマルウェアで、主に不正なBitTorrentファイル共有を介して約1万9,000台のコンピュータに感染しています。また、韓国や日本の特定個人、例えば、国際的な非政府組織の職員、エンジニアリング企業の社員、学者、科学者、政府機関の職員などの攻撃、追跡にも使われています。

JAKUのファイルは、「Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd」という組織宛に発行された証明書で署名されていましたが、同じ組織による証明書は、「Dark Hotel」という著名なAPT攻撃グループが使用していたファイルへの署名にも使われています。JAKUを使用している攻撃グループとDark Hotelのどちらも、北朝鮮の攻撃グループであると考えられています。

日本との関係

日本と北朝鮮は、政治面、外交面で友好的とはいえない関係にあり、日本人と思われる人物からWilliams氏宛にSiliVaccineが送られてきたのは奇妙に映ります。しかし、チェック・ポイントの調査では、日本との意外な関係はこの他にも見つかっています。

その1つが、SiliVaccineの開発元と見られる企業の中に、PGI(Pyonyang Gwangmyong Information Technology)とSTS Tech-Serviceという名前がある点です。

STS Tech-Serviceは、「Silver Star」や「Magnolia」など、日本に拠点を置きつつ、北朝鮮の政府機関であるKCC(Korea Computer Center)と過去に協働していた複数の企業と協力関係にあった事実が判明しています。

トレンドマイクロの見解

チェック・ポイントのリサーチ・チームは、トレンドマイクロに連絡を取り、同社の検出エンジンがSiliVaccineで盗用されていることを伝えました。同社は、チェック・ポイントの問い合わせに対し、速やかに次のような回答を寄せています。

「北朝鮮製アンチウイルス製品『SiliVaccine』に関する貴社の調査内容と検証のために貴社により提供されたソフトウェアのコピーを確認いたしました。今回の情報源や信憑性は確認できていませんが、同製品には、弊社製品で広く使用されているTrend Micro検査エンジンの10年以上前のバージョンを元にしたモジュールが組み込まれていると考えられます。トレンドマイクロは、北朝鮮国内、および北朝鮮の組織とこれまで一切取引を行っていません。SiliVaccineにおける弊社技術の使用は、完全に無許可かつ違法で行われていると確信しており、またソースコードが関与した証拠は見当たりません。問題のスキャン・エンジンは非常に古いバージョンであり、弊社の提供する製品および弊社とOEM契約を結んだセキュリティ・ベンダー各社の製品で広く使用されています。そのため、SiliVaccineの開発元がどのような手段でこの技術を入手したのかは定かではありません。トレンドマイクロは、ソフトウェアの著作権侵害行為に対して厳しく対処する考えですが、今回の件について法的手段をとることは生産的ではありません。今回の不法行為が弊社のユーザに具体的なリスクをもたらすことはないと考えています」

SiliVaccineが10年以上前の古い検査エンジンを使用している背景として、広くライセンス提供しているライブラリが流用された可能性があるというトレンドマイクロの指摘は、チェック・ポイントのリサーチ・チームが実施した、SiliVaccineの旧バージョンに対する追加の分析でも裏付けられています。今回の問題は、単発的な出来事では済まない可能性があります。

まとめ

SiliVaccineに関する今回の調査は、北朝鮮のITセキュリティ製品やその事業の正当性および目的に対する疑念を引き起こす結果になるでしょう。

サイバー・セキュリティの世界では、攻撃者の特定は容易ではなく、チェック・ポイントの調査でもさまざまな疑問が浮上しています。1つ確実に言えるのは、SiliVaccineの開発者の行動は不審であり、その目的も正当なものであるとは考えにくいという点です。チェック・ポイントでは、第5世代のサイバー攻撃で使用されている、国家が関与するその他のテクノロジーについても調査を行っています。

SiliVaccine内部の技術的な詳細については、Check Point Researchの記事をご覧ください。