韓国のワードファイルを狙ったサイバー攻撃、北朝鮮が関与か? - FireEye

ファイア・アイは9月16日、北朝鮮からの脅威が疑われる「ハングルワードプロセッサー(HWP)」に対する最新ゼロデイ攻撃について解説した。

HWPは、韓国企業の「Hancom」が開発した韓国語に対応したワードプロセッサ・ソフトウェアで、韓国の政府機関や公共機関などで広く利用されている。

今回のゼロデイ攻撃では、HWPに未知の脆弱性(CVE-2015-6585)を悪用した複数の悪意ある文書が見つかった。悪意のある文書は、北朝鮮の脅威アクターと疑われる関連性あると見られている。

HPWの「HWP 2014」バージョンでは、韓国産業規格のKS規格で標準化されたHWPファイル形式(HWPX)のサポートをしている。HWPX形式の文書が初期設定で使用するファイル拡張子は.hwpxであるが、従来のHWPファイルである.hwpが使用することもできる。

新たな形式であるOWPML(Open Word-Processor Markup Language)は、zipアーカイブ内でXMLファイルを使用する。HWP文書とHWPX文書の構造的な違いは、Microsoft Wordの.docファイルと.docxファイルのそれに類似している。