必須インストールの「K-セキュリティ」アプリを検証した論文

以前からここをご覧になっている方なら、私が2023年初めにここへ投稿したウラジーミル・パラント（Wladimir Palant）によるK-セキュリティ紹介記事を読まれたことがあるかもしれません。

• 行き止まりに達した韓国のオンラインセキュリティの実態
• 該当記事シリーズの非公式韓国語訳

これに関連して、最近、韓国のセキュリティ学界が上記内容を補足する論文と模擬ハッキングのデモ動画を公開しました。
この内容は、8月に米国シアトルで開催される第34回USENIX Security Symposiumで発表される予定だそうです。

• Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea

• KAISTによる上記論文のプレスリリース

• K-セキュリティアプリを悪用してユーザーのキーボード入力を盗聴し、パスワードを窃取するPoC動画

• K-セキュリティアプリを悪用して特定サイトに接続したユーザーPCへマルウェアを投入するPoC動画

• 上記論文の内容を報じるZDNet Koreaの記事

• 上記論文の内容を解説するホワイトハッカー Normaltic の動画

この論文では、K-セキュリティアプリ（Korea Security Applications）を略して「KSA」と呼んでおり、ActiveXベースで動作していた時代をv1.0、exeベースへ移行した2015年以降をv2.0と呼んでいます。

基本的に、このような「セキュリティプログラム」をユーザーPCへ強制的にインストールさせる構造そのものが、むしろセキュリティ上脆弱だという結論や、それにもかかわらず構造的な問題のためにこれを一気に廃止するのは簡単ではない、といった問題提起自体は、ウラジーミル・パラントの連載記事とそれほど変わりません。

いくつか異なる点を挙げると、まずウラジーミル・パラントの記事では銀行利用時にインストールするアプリを中心に見ていましたが、この論文では分析対象を、一部の公共機関関連の業務を行う際に必須でインストールさせられるアプリにまで広げていることです。論文で調べたのは全部で7種類だったようです。もっとも、K-セキュリティアプリの種類といっても大抵は似たり寄ったりで、会社名や製品名は伏せられているものの、分かる人にはだいたい見当がつくかもしれません。いずれにせよ、さまざまな脆弱性を見つけて、キーロギングも試し、リモートコード実行も試し、ファジングでメモリ脆弱性も見つけ、中間者攻撃も試すなど、あれこれ一通り試したようです。

そして目を引く内容として、ユーザー向けのオンラインアンケートも実施しており、その結果、実際に韓国のオンライン環境でK-セキュリティアプリを経験したことのない人はほとんどいない一方で、これをインストールするユーザーの約60%ほどは、具体的にこのアプリがいったい何の役割をしているのかも分からないまま、とりあえずインストールしていることが明らかになりました。

さらに一歩進めて、協力者を募集し、Hoax Eliminator v7.25を通じて、主に20代の若者が使うPCに実際どれほど多くのK-セキュリティアプリがインストールされているかも調査したそうです。その結果、平均で約9個のK-セキュリティアプリがインストールされており、そのうち今回の研究対象に含まれたアプリは約4個だったとのことです。ある協力者のPCでは、実に24個も検出されたケースもありました。半数を超える協力者で、インストールされていたアプリが2年以上前のバージョンであり、ある協力者のPCでは、研究時点から5年も前のバージョンのアプリも確認されたそうです。

せめてもの救いとして、テーブルクロスプロジェクトやHoax Eliminatorのような有用なツールを公開してくださっている方々がいるのは本当にありがたいことですが、根本的には、こうしたツールを使う必要自体がまったくない状態であるべきでしょう。

ウラジーミル・パラントによるK-セキュリティアプリ分析シリーズは2023年初めに公開され、その後、北朝鮮がこうしたK-セキュリティアプリを経路としてハッキングしていた事実も知られるようになりましたが、いまだに根本的な変化は感じられないのが現実です。せめて今からでも、もう少し目に見える変化が起きてほしいものです。