袋小路に突き当たった韓国のオンラインセキュリティの実態

2025年6月2日、韓国のセキュリティ学界でこの内容を補足する論文などが公開されました。

• 必須インストール「K-セキュリティ」アプリ検討論文 (syssec.kaist.ac.kr)

最近、イニテックの INISAFE CrossWeb EX V3 を悪用したハッキング攻撃があったことが発表されました。

• イニテック INISAFE CrossWeb EX V3 セキュリティアップデート勧告

• 国家情報院「北、INISAFE の脆弱性を悪用したハッキング…セキュリティパッチ勧告」（総合）

国家情報院によると、国家情報院と警察庁、韓国インターネット振興院（KISA）、国家保安技術研究所は、昨年末に北朝鮮が KT[030200] グループの金融・セキュリティ専門企業イニテックの金融セキュリティ認証ソフトウェア「INISAFE」の脆弱性を悪用し、国内外の国家・公共機関や防衛産業・バイオ企業など主要機関約60か所の PC 約210台をハッキングした事実を確認した。
ハッキングに悪用されたソフトウェアは、電子金融および公共部門向け認証ソフト「INISAFE CrossWeb EX V3 3.3.2.40」以下のバージョンで、国内外で1,000万台以上の機関・企業・個人 PC にインストールされていると推定される。

• 北朝鮮、金融セキュリティ認証ソフトウェアの脆弱性を悪用してハッキング... セキュリティアップデート勧告

国家情報院は「今年1月に緊急対応に着手し、当該マルウェアの動作原理などに関する詳細分析を完了した」とし、「その分析資料を根拠に A社と協力して実際の攻撃・防御の再現を進めるなど、セキュリティパッチの開発を完了した」と述べた。

• 北のハッカー、KT の金融セキュリティ企業イニテックをハッキング··· 国家情報院・KISA が摘発

イニテックは、今年1月にドイツのセキュリティ専門家ウラディミール・パラント（Wladimir Palant）が韓国の金融セキュリティ SW の多くに問題があると指摘した投稿画像に自社製品が含まれていたため脆弱性点検に着手し、その過程で問題となった脆弱性を発見したという立場だ。
イニテック関係者は「脆弱性を発見した後、それを補完している最中に国家情報院から連絡が来た。2月20日に問題となった脆弱性を緩和するセキュリティパッチの開発を完了し、配布中だ。現在、約40%の企業がパッチを完了した状態だ。ただ、まだすべての企業がパッチを終えたわけではないため、継続してアップデートするよう勧告している」と述べた。

当然の話ですが、問題があるのはこの製品だけではないはずです。私の知る限り、最近国内の公認認証書プログラムでセキュリティ脆弱性が見つかったというニュースが少なくともあと2件あります。しかもそのうち1件は、すでに北のサイバー工作員の手が及んでいたそうです。

• 公認認証ソリューション（VestCert）脆弱性への注意およびアップデート勧告
  • 公認認証ソリューション VestCert、脆弱性に注意しアップデートが必要

このほか、VestCert を終了して削除する際には、一定の手順に従って進める必要がある。まずプロセスの終了はタスクマネージャーのプロセスタブで Goji を先に終了した後、VestCert を終了しなければならない。その後、[コントロール パネル]-[プログラム]-[プログラムと機能] で VestCert のバージョンを確認したうえで「削除」をクリックし、完全に削除する。

• 公認認証ソリューション（MagicLine4NX）脆弱性への注意およびアップデート勧告
  • 公認認証ソリューション「MagicLine4NX」の脆弱性... 北朝鮮の Lazarus による悪用の痕跡を確認

Lazarus ハッカーグループは MagicLine4NX の脆弱性を通じて svchost.exe プロセスにインジェクションした後、悪性プログラムをダウンロードして実行した。したがって、脆弱なバージョンの MagicLineNX がインストールされている場合には、直ちに削除措置を取る必要がある。

ついに実際の脆弱性に関する内容が公開され始めました。

最初の打者(?)は、ラオンセキュアの TouchEn nxKey キーボードセキュリティプログラムです。
脆弱性そのものもそうですが、その脆弱性に対処する過程ですら杜撰な様子を見せたのが実に印象的でした。(?)

• https://palant.info/2023/01/…
• https://ja.news.hada.io/topic?id=8211

金の卵を産むガチョウ

Hacker News のコメントを整理してみました

• 韓国の金融規制当局は保守的ですが、政治家やメディアは金融消費者の味方をしようとします。そのため、ユーザーのコンピュータにインストールされたキーロガーによるパスワード流出であっても、ユーザーのミスを銀行の責任にしてしまいます。これが銀行がセキュリティソフトを購入する理由です
• 金融機関自身がセキュリティに気を配っていません。古い OS を使っていることも珍しくありません

内容がかなり長くなったので、ブログにまとめてみました
https://soulee.dev/2023/01/05/korean-bogus-security

国際的に少し恥をかいてでも改善されてほしいですね。
ああした方法が現在、企業の責任回避の手段として使われているという話に驚いた、というコメントが多いですね。

外国のミームに disappointed but not surprised というものがありますが、それを思い出しますね。

責任回避のための偽のセキュリティアプリケーションという表現が、まさに的を射ている気がします……

作者が投稿した Hacker News スレッド:
https://news.ycombinator.com/item?id=34231364

別の方が投稿した原文記事の韓国語訳:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820

恥ずかしいですね

韓国では、たいてい規制の目的が「ユーザーを保護する」ことではなく、「責任を負わないようにする」ことに行き着く場合が多いと思うのですが、その代表例がユーザーのコンピューターにインストールするタイプのセキュリティプラグインだと思います。事故が起きるたびに何かが一つずつ追加され、ついにはそれをインストールするためのプラグインまでインストールしなければならない状況にまでなった、というのはさすがに驚かされました。笑

その通りです。紹介されていた文章でも、まさにその点を的確に見抜いていました。

そして、複数のセキュリティプラグインをインストールするための追加プログラムを別途インストールするようユーザーに勧めているのを見て、「アプリ動物園の管理」(manage this application zoo) とも言っていましたね（笑）

自分たちだけが知っていることかと思ったら、みんな知っているんですね （泣）（泣）

夕食を食べながら記事を見て、明日要約して投稿しようと思っていただけだったのですが、うまく整理してくださっていましたね。ありがとうございます!!

「偽の(bogus)セキュリティアプリケーション市場」を作ったという言葉が本当に響きますね。