Bizコンパス

画像が原因でマルウェアに感染。ステガノグラフィー技術とは
2019.03.21

高度化するマルウェアの攻撃手法に迫る第1回

画像が原因でマルウェアに感染。ステガノグラフィー技術とは

著者 すずきひろのぶ (鈴木裕信)

「ステガノグラフィー技術」をご存知だろうか。これは、画像にデータを「混ぜ込む」技術である。

 その画像の中にマルウェアのコードを「混ぜ込んで」いると、データの特徴量でマルウェアを探す「シグネチャ方式」では検知できない。設定で画像ファイルのデータと認識したものは、スキャン対象とはしていないケースも多いだろう。そのため、外部からマルウェアのコードがダウンロードされる時に、このようなマルウェアのコードを埋め込まれた画像は易々とファイアウォールを突破し、あるいはマルウェア対策ソフトをすり抜け、システムの中に入り込む。

 マルウェアは、“守る側”の裏をかこうと、次々と新しい技術を投入してくる。今回は、なぜステガノグラフィー技術を用いたマルウェアが誕生したのか、その背景と現実的な対策法を考察してみる。

 

マルウェアは、日々更新されるマルウェア対策に対応する必要がある

 近年のトレンドとして、侵入・感染型のマルウェアは「侵入するステージ」「外部から必要な拡張モジュールをダウンロードするステージ」「本格的に活動を行うステージ」というように、段階的に変化するアプローチを取っている。

 このようなタイプのマルウェアが組織内のコンピュータに1つでも侵入すると、その組織内のネットワークにつながるすべてのコンピュータが攻撃対象になる可能性がある。ここでのコンピュータとはサーバーやPCだけではなくNASのようなファイルサーバー、あるいは組み込み型のIoT機器も含まれる。

 侵入後に何をするのかは、状況をみてから決めることも可能である。顧客情報を盗むのか、クレジットカードの情報を盗むのか、あるいはランサムウェアを仕掛けて暗号通貨を脅し取るのか、それは組織内のネットワークを探査したあとで決められるとなると実にやっかいである。

 まず侵入するステージでもっとも大切なことは、新しい脆弱性やマルウェア対策ソフトの裏をかいてユーザーのコンピュータに侵入し、橋頭堡(きょうとうほ、軍事用語で「上陸拠点」のこと)となるダウンローダーを稼働させることである。

 マルウェアは、Webブラウザのプラグインの脆弱性をつき、ウェブサイトをアクセスしただけで感染するケースから、どこかで感染したUSBメモリをPCに接続した瞬間に、内部に侵入するケースまで多種多様である。しかし、脆弱性は順次アップデートでなくなり、また、マルウェア対策ソフトもアップデートされ、それらの手口に対処できるようになる。そのため、侵入するための手法も長期間は使えない。攻撃者側は、次々に新しく発見された脆弱性に対応していかなくてはならない。

 もし、マルウェアがオール・イン・ワンのタイプで、すべての機能を1つのソフトウェアとしてできあがっていた場合、侵入方法を変えるたびに、マルウェアを再構成し作り替えなくてはならない。そのような無駄を省くため「侵入」「ダウンローダー」という小さい機能からなる侵入用のマルウェアのモジュールのみを作り送り込む。

 近年、マルウェアは複数のモジュールからなるシステムへと変化しているわけだが、ソフトウェア工学的な視点からみると、このようなソフトウェアのモジュール化が進み、柔軟で多様な機能を提供できるのは、「正しいソフトウェアのあり方」でもある。その理想に近づくため、極めて早い進化をしているのが悪意のあるソフトウェア=マルウェアであるのは、なんとも皮肉である。

 さて、侵入してからが重要である。システムに侵入し外部のサーバーから、さらにいろいろなマルウェアのモジュールをダウンロードし、次のステージへと進化する。このステージでは感染したコンピュータがどのような使われ方をしているか慎重に調べる。組織内ネットワークがあれば、組織内ネットワークに繋がれているコンピュータをくまなく探査し、どのような脆弱性があるか調べあげる。

 そして、発見したそれらの脆弱性に対応したマルウェアのモジュールを取り寄せ、攻撃のための準備を着々と進め最終ステージに進む。最終ステージで本格的な攻撃となる。ここまでくると、守る側でできることは、そう多くはない。

 

なぜ攻撃者側は「画像」に注目したのか

 しかしながら、数々のモジュールを密かにダウンロードするのは、そんなに簡単なことではない。

 ファイアウォールやIDS (侵入検知装置)、あるいはマルウェア対策ソフトが用意されていた場合、次々にダウンロードされるいくつものモジュールすべてを隠し通すのは至難の業ともいえる。いくつもの既存のモジュールをシグニチャパターンでの検出を回避するために、大幅に変更し作り替えるのも大変だし、アーカイブや暗号化したファイルをダウンロードするだけで、もうそれだけで怪しいとわかってしまう。

 そこで登場したのが、ステガノグラフィー技術を使い、画像にマルウェアのコードを入れるというアイデアだ。ステガノグラフィー技術は一見なんともない絵や写真の画像ファイルに… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

関連キーワード

SHARE

関連記事

聖域なきセキュリティ「ゼロトラスト・モデル」とは

2019.03.06

セキュリティ対策に求められる新たな視点第2回

聖域なきセキュリティ「ゼロトラスト・モデル」とは

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

2018.12.14

複雑かつ多様なアプリケーション環境におけるID・アクセス管理

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

中堅・中小企業のセキュリティ課題はUTMで一挙解決へ!

2018.05.09

セキュリティリソースの不足をいかに補うべきか?第1回

中堅・中小企業のセキュリティ課題はUTMで一挙解決へ!