国内の金融セキュリティソフトのインストール義務化が、かえってサイバー攻撃に悪用される可能性があるという研究結果が出た。
韓国科学技術院(KAIST)電気電子工学部のキム・ヨンデ教授とユン・インス教授による共同研究チームは2日、高麗(コリョ)大学のキム・スンジュ教授チーム、成均館(ソンギュングァン)大学のキム・ヒョンシク教授チーム、セキュリティ専門企業「ティオリ(Theori)」と共同で韓国の金融セキュリティソフトウェアを分析した結果、設計上の構造的欠陥と脆弱性を発見したと発表した。
研究チームは、国内の主要金融機関や公共機関で使われている7種の主要セキュリティソフト(KSA)を分析し、深刻なセキュリティ上の脆弱性を計19件発見した。主な脆弱性としては、▽キーボード入力信号の傍受▽中間者攻撃(MITM)▽ルート認証書の流出▽リモートコード実行(RCE)▽ユーザー識別と追跡――などが挙げられた。
こうした問題の背景には、韓国の金融セキュリティソフトが持つ構造的な限界がある。基本的にウェブブラウザーは、外部のウェブサイトがシステム内部のファイルなどの機密情報にアクセスできないよう制限を設けている。ところが、韓国の金融セキュリティソフトは、こうしたウェブブラウザーのセキュリティ構造を回避して、機密性の高いシステム機能を実行するよう設計されている。
研究チームは「金融や公共サービス利用時に、このようなセキュリティプログラムのインストールを義務化する政策は、世界的にも類例がない」と指摘する。実際に研究チームが全国の400人を対象に実施したオンライン調査では、回答者の97.4%が金融サービスを利用するためにKSAをインストールした経験があると答えた。
キム・ヨンデ教授は「セキュリティソフトは利用者の安全を守るためのツールであるべきだが、逆に攻撃の入り口として悪用されかねない」とし、「非標準的なセキュリティソフトを強制的にインストールさせるやり方ではなく、ウェブ標準とブラウザーのセキュリティモデルに準拠する方向へ転換すべきだ」と話した。
チャン・ウンジ記者 jej@donga.com
About Dong-A Ilbo