北朝鮮には「Red Star OS」という独自のOSがありますが、「SiliVaccine」という独自のセキュリティソフトも存在します。このSiliVaccineをCheck Point社が調査したところ、10年以上前のトレンドマイクロ社のスキャンエンジン技術が使われていたことが判明しました。

事の発端

Martyn Williams氏は北朝鮮の技術に関するフリーランスジャーナリストです。2014年、彼のもとに「Kang Yong Hak」と名乗る人間から怪しいメールが届きました。その中にはDropboxに預けられたZIPファイルへのリンクがあり、そのリンクから彼はSiliVaccineを入手することとなります。このサンプルがCheck Point社に提供されたことで調査が始まりました。

そして調査の結果、10年以上前のトレンドマイクロ社のアンチウイルスエンジンとSiliVaccineとが合致したのです。更に特定のシグネチャを敢えて見逃すよう設計されていることも判明しました。なんのシグネチャかは不明ですが、北朝鮮当局がユーザーに気づいてほしくない存在であることは確かです。

マルウェアが混入されたセキュリティソフト

しかし、話はこれに留まりません。ソフトウェアの更新パッチファイルの中からマルウェア「JAKU」が見つかりました。これはWilliam氏のようなジャーナリストを標的としてZIPに混入させていた可能性があります。
このJAKUファイルは「Ningbo Gaoxinqu zhidian Electric Power Technology Co., Ltd」という会社に発行された証明書で署名されていました。この会社は有名なAPTグループである「Dark Hotel」の署名にも使われていたもので、JAKU、Dark Hotelは共に北朝鮮の脅威アクターと見られています。

流出経路は不明

報告を受けたトレンドマイクロ社は次のように回答しています。
・本物と断定はできないが、10年以上前のスキャンエンジンに基づいたモジュールが組み込まれているようだ。
・このスキャンエンジンはかなり古く、OEM契約などを通じて自社やサードパーティーのセキュリティ製品に広く組み込まれていた。そのためどのようにしてSiliVaccineの作者が入手したかはわからない。
・トレンドマイクロは北朝鮮との間で事業を行ったことは無く、このモジュールの使用は無許可且つ違法である。
・トレンドマイクロは著作権侵害には強い姿勢で臨むが、本件については法的手段が効果的とは言えない。
・この問題が我々の顧客に重大なリスクをもたらすとは考えていない。

北朝鮮「独自の」セキュリティソフトであるSiliVaccine、技術の盗用疑惑もさることながら、その挙動自体が果たして「セキュリティソフト」と呼べるのかという点でも疑問の湧く存在です。

参考（外部サイト）

SiliVaccine: A Special Report Into North Korea’s Anti-Virus | Check Point Blog