北朝鮮の公式ニュースサイトである「朝鮮中央通信」上に、閲覧者のPCに秘密裏にインストールされるドロッパー型のマルウェアが仕込まれていたことが明らかになりました。

Surprise! North Korea’s official news site delivers malware, too | Ars Technica

http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/



「朝鮮中央通信」は北朝鮮の国営通信社で、同国最大の報道機関です。公式ウェブサイトを開設したのは2010年のことで、国内外に向けてさまざまなニュースを配信しており、ウェブページのデザインはこんな感じです。



Ars Technicaは朝鮮中央通信のソースコード上で赤枠部分に「FlashPlayer10.zip」というデータを発見しました。このファイルやJavaScriptのコードを独自に解読したところ、これがただのインストーラーではなくマルウェアであったことが判明。



このファイルはJavaScript変数の「FlashPlayer」として、朝鮮中央通信のウェブサイトのメインページやその他ページ上に仕掛けられており、Windows上で実行可能な「Flash Player 10」や「ActiveXコントロール」といったインストーラーにも偽装していたそうです。

ファイル名は異なるものの、どのファイルも中身は同じものであったそうで、これをオンラインスキャンサービスのVirusTotalにてスキャンしてみたところ、ユーザーのPC内に秘密裏にインストールされるドロッパー型のマルウェアであることが判明した、というわけ。なお、「FlashPlayer10.zip」のタイムスタンプを確認したところ、作成日は2012年の12月となっていたそうです。



朝鮮中央通信に仕込まれているマルウェアは、北朝鮮や金正恩氏の動向を定期的にチェックしておきたい何者かを対象とした水飲み場型攻撃ではないかと考えられています。