「ステガノグラフィ」とは、ある情報を他の情報の中に埋め込んで存在を隠ぺいする手法です。この手法は今後、不正プログラムのさらなる活用を研究する熱心な攻撃グループで特に頻繁に利用されるようになるでしょう。怪しく見えない場所に何かを隠ぺいする機能は、攻撃者にとって、チョコレートの上にピーナッツバターを載せるようなものです。つまり、おいしいものがさらにおいしくなります。
トレンドマイクロは、これまでに公開された 2つの記事で、「不正プログラムの検出回避のために、攻撃者はどのようなステガノグラフィの手法を利用しているか」、「コマンド&コントロール(C&C)サーバのコマンドや実行コードを隠ぺいするために、攻撃者はどのようにステガノグラフィの手法を利用しているか」について説明しました。今回は、この手法が今後与える影響について述べます。
まずは、最近確認されたいくつかの事例を振り返ってみましょう。
- 韓国を標的にしたオンライン銀行詐欺ツールが C&Cサーバとの通信にソーシャル・ネットワーキング・サイト(SNS)「Pinterest」を利用しました。この手法は純粋なステガノグラフィではありませんが、サイバー犯罪者が、通信手段として一般的かつ予想外のトラフィックをどのように利用しようとしたかを示す興味深い事例です。この事例では、ネットバンキング利用者が Pinterest の特定のコメント欄のメッセージを閲覧すると、そのメッセージは復号され、ボット管理者からコマンドを入手するために利用されました。
- 「Janicab」と呼ばれる不正プログラムは C&Cサーバとの通信に Youtube を利用しました。この手法の説明は不要でしょう。前の事例と非常によく似ており、同一のサイバー犯罪者によって実行された可能性があります。ただし、韓国との明確な関連性はないようです。もしかしたら、東アジアでステガノグラフィの手法が流行しているのかもしれません。
- 攻撃キャンペーン「Tropic Trooper作戦」は、不正なコードを埋め込んだ画像ファイルをダウンロードしました。これは以前の 2つの記事で取り上げた手法と似ていますが、大きな違いは、非常に特殊な地理的地域の組織を狙った標的型サイバー攻撃で利用された点です。この事例を含め、あらゆる種類の攻撃者がステガノグラフィを利用しているということがうかがえます。ステガノグラフィは多く利用されるほど、ますます幅広く利用されるようになります。「Tropic Trooper作戦」に関しては、弊社のリサーチペーパーをご参照下さい。
■どのような場合に、攻撃者はステガノグラフィを最大限に利用できるか
ステガノグラフィを利用した攻撃を最も活用できるのは標的型サイバー攻撃でしょう。本質的に、標的型サイバー攻撃は、攻撃を拡散させるものではありません。標的が限定されるため、攻撃で利用された新しい手法をセキュリテイリサーチャーが確認するまで時間がかかる場合もあります。そういう意味では、ステガノグラフィの利用は、標的型サイバー攻撃におけるゼロデイ脆弱性のようなものかもしれません。長期間隠ぺいされると、それだけ攻撃者にとって有益となります。実際のゼロデイ脆弱性でも、発見が遅れるほどユーザに与える影響は大きくなります。
それでは、未確認の新しいステガノグラフィを利用した攻撃を検知するために、セキュリテイリサーチャーは何ができるでしょうか。
不正プログラムに利用されるステガノグラフィの大きな弱点は、予想外の場所に隠ぺいされた情報を検索する不正プログラムが周知のものであるという点です。サイバー犯罪者は不正プログラムを広範囲に拡散させようとしますが、最終的にはセキュリテイリサーチャーによって特定されてしまいます。この時点で重要になるのは、リサーチャーが不正プログラムがどの場所にあるかを確認し、隠ぺいされた情報をどのように検証し、復号するかだけなのです。その意味では、ステガノグラフィとは、セキュリテイリサーチャーが検体を入手するまで不正プログラムが検出されないように回避するだけの手法とも言えます。
ステガノグラフィは、予想しない場所に何かを隠ぺいするよう設計されています。そのため、セキュリテイリサーチャーは、データファイルやデータの流れの中で何か通常でないものを探す必要があります。手始めとして、通常より長いプロトコルのメッセージの再確認、外部からのエンコード化された情報の検索、自動学習機能を備えたルールのネットワーク内の追跡情報への適用などの取り組みが有効でしょう。
しかし、こうしたことはいずれも容易ではなく、また隠ぺいされたデータをこれらの取り組みで特定する前に、感染被害から不正プログラムの検体を入手してしまう可能性もあります。しかし、やってみなければ、有益な気付きを得ることもできません。こうした取り組みのポイントは、通常の情報から不規則なものや異常なものを探しだすことが攻撃者を打ち負かす唯一の方法だということです。現実的でなく、時間の浪費に思えるかもしれませんが、取り組むべき課題であることは確かです。利用できるアルゴリズムが改良されれば、この先の負担を軽減できるかもしれません。
ステガノグラフィに関するこれまでの記事は、以下からご参照いただけます。
参考記事:
- 「 Steganography and Malware: Final Thoughts」
by David Sancho (Senior Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)