北朝鮮を背後に持つハッカー組織がアレアハングル(HWP)文書にマルウェアを潜ませ拡散した兆候が捉えられ、HWPのセキュリティ脆弱性が俎上に載った。北朝鮮ハッカーによるHWP悪用攻撃は10年以上継続しており、一部ではアレアハングルのセキュリティ脆弱性が韓国のサイバー安全保障はもとより韓米同盟にも悪影響を及ぼしかねないとの懸念が出ている。
26日セキュリティ業界によると、サイバーセキュリティ企業Geniansセキュリティセンターは、北朝鮮連携ハッカーグループ「APT37」がHWPに悪性ファイルを隠して配布する、いわゆる「アルテミス(Artemis)」攻撃の兆候を識別したと明らかにした。分析によれば、APT37は受信者の関心分野を考慮して巧妙に接近する「スピアフィッシング」攻撃と把握された。大学教授を装い、北朝鮮人権に関する国会討論に討論者として参加してほしいとメールを送ったり、韓国の主要放送局の作家を装って北朝鮮人権に関するインタビューを要請し、会話で信頼を築いた後にマルウェアが入ったHWPファイルを送る手口だ。
被害者がメールに添付されたHWPファイルをダウンロードし、文書内に付されたハイパーリンクをクリックすると、被害者のPCが悪性ファイルに感染する方式でハッキングが行われた。APT37は被害者がリンクをクリックする際、ファイルのダウンロードなど正常な手続きが実行されているよう巧妙に装い、ハッキングの疑いを避けたことが分かった。この過程でハッカーは、正常ファイル内部に悪性データを隠す「ステガノグラフィ」と、アプリケーションの実行過程で悪性DLLを同時にロードさせる「DLLサイドローディング」などの複合手法を活用し、セキュリティプログラムの検知を回避した。
今回の事例でHWPのセキュリティ脆弱性への懸念が高まっている。セキュリティ業界によると、北朝鮮は少なくとも2013年からHWPの脆弱性を悪用してきた。APT37/ScarCruft、キムスキなど複数グループの北朝鮮ハッカーが集中的にHWPを活用した。これは韓国がHWP中心の文書環境を維持してきた特殊な構造と接している。マイクロソフト(MS)ワードやアドビ(Adobe)PDFが国際標準として広く使われる一方、韓国はHWPを標準のように使用している。政府部処と国会、軍、産業界、学界などほぼすべての分野でHWPが使われている点が、脆弱性悪用の背景となる。
キム・ミョンジュソウル女大情報保護学科教授は「HWPがMSオフィスより本質的に(セキュリティで)より脆弱だと断定することはできないが、韓国の公共・民間全般にわたり事実上標準のように使われているため、北朝鮮ハッカーには魅力的な標的だ」とし、「HWPは海外でも使用されている以上、セキュリティ事故が発生すればグローバル市場に影響を及ぼしうる」と述べた。
技術的側面でもHWPはマルウェアを挿入しやすい特性を持つ。ハッカーはハングル文書内部にOLE(オブジェクトのリンクと埋め込み)オブジェクトを密かに挿入する方式で攻撃を試みる。OLEは文書内に画像や表、外部ファイルなどを含めたり、他のプログラムと連動できるようにする機能で、正常な文書作成過程で広く使われる。しかしハッカーはこの機能を悪用し、ユーザーが文書を開いたりプレビューする過程でマルウェアが自動実行されるよう設計する。この場合、別途の実行や承認手続きなしでも感染が起きうるため検知が難しく、既存のセキュリティポリシーを迂回する可能性が大きい。
HWPのセキュリティ脆弱性が韓国のサイバーセキュリティを超え、韓米同盟にも悪影響を及ぼしかねないとの懸念も出ている。米国の北朝鮮専門メディア38ノース(38NORTH)は、北朝鮮ハッカーがHWPの脆弱性を長期間悪用し、韓米同盟の相互運用性と信頼に否定的な影響を与えていると報じた。米国のサイバーセキュリティ企業エーアイ・インテル(Aeye Intel)のペリー・チェ最高経営責任者(CEO)は同メディアへの寄稿で、HWPの脆弱性を補完する大規模な措置が必要だと警告した。ペリー・チェは、北朝鮮ハッカーがHWPの弱点を狙い、韓国機関だけでなく韓米共同プロジェクトや同盟連携サプライチェーンに侵入する手段として悪用していると主張した。
これに対応するため、現時点ではハンコムの継続的なセキュリティパッチ適用とユーザーのアップデートが最善の対策と挙げられる。キム教授は「ハンコムは脆弱性が確認された部分について速やかに原因を公開し、セキュリティパッチを含む新規バージョンを配布するなど積極的に対応すべきだ」と述べ、「ユーザーも旧バージョンの使用を最小化し、即時のアップデートが必要だ」と語った。