Check Point Software Technologiesは5月1日、北朝鮮製のセキュリティソフト「SiliVaccine」に、10年前のトレンドマイクロのスキャンエンジン技術が使われていたことが分かったと発表した。
Check Pointによると、SiliVaccineに関する解析は、北朝鮮の技術動向を追うジャーナリストのMartyn Williams氏の情報提供をきっかけに行った。Williams氏は、2014年7月に日本のエンジニアとされる「Kang Yong Hak」を名乗る人物から、SiliVaccineのサンプルデータを受け取ったという。
同社でSiliVaccineのフォレンジック解析を行った結果、ファイルスキャンエンジンのソースコードの多くが、2008年8月にリリースされたトレンドマイクロのセキュリティ製品のソースコードと一致したした。このことは、SiliVaccineの開発者がトレンドマイクロ製品のライブラリやソースコードにアクセスできたことを意味し、本来は非公開であるはずのこれらの情報を知り得たことが重大な懸念事項だとしている。
一方でSiliVaccineには、トレンドマイクロ製品ではブロックされるシグネチャ「MAL_NUCRP-5」がブロックされないように改変されていることも分かった。MAL_NUCRP-5は、偽セキュリティソフトのインストーラや中国の標的型攻撃に関連した不正プログラムなどの検知とブロックを行うシグネチャとされ、Check Pointはこのシグネチャを実質的に無効化した北朝鮮の意図に、「マルウェアの存在を知られたくない理由があるのは確か」と見ている。
SiliVaccineのアーキテクチャ(出典:Check Point)
また、「アップデートパッチ」とされるファイルの内部に、2016年に発覚した日本や韓国を標的とするサイバー攻撃で使われたマルウェア「JAKU」が埋め込まれているのも確認された。
Check Pointは、既にこの結果をトレンドマイクロに通知し、トレンドマイクロはCheck Pointに対して「当社は北朝鮮や同国の組織と一切の取引を行っておらず、SiliVaccineで当社の技術が使われたことは、完全に無許可であり、かつ違法なものだ」と説明。SiliVaccineで見つかったトレンドマイクロの技術は非常に古く、同社製品以外にも多数のセキュリティベンダーにOEM提供していたものだったという。
トレンドマイクロは、ソフトウェア技術の著作権侵害行為に対して厳しく対処する方針であるものの、SiliVaccineに関しては「法的措置を講じても生産的ではないし、この行為が当社のユーザーに具体的なリスクをもたらすことはないと考えている」とコメントしている。
Check Pointによると、SiliVaccineの開発には「Pyonyang Gwangmyong Information Technology」「STS Tech-Service」という企業が関わり、STS Tech-Serviceは、以前に複数の日本企業とゲームソフト開発などの事業で協力関係にあったという。
Check Pointは、今回の調査結果が北朝鮮のITセキュリティ製品やその事業の正当性について疑念を引き起こすものだとし、少なくともSiliVaccineには不審な点が多く、「その目的も正当なものだととは考えにくい」と指摘する。同社の研究者らは、5月23日に米国ポートランドで開催されるセキュリティカンファレンス「CARO 2018」で詳しい状況を発表するとしている。
