このページの本文へ

サイトを見ただけで感染!? 「ステガノグラフィー」とは

2017年07月14日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 マカフィーはMcAfee Labs脅威レポート 2017年6月を公開している。そのレポートには、脅威統計情報だけではなく、最近のセキュリティー事情についてのトピックも含まれている。

 2017年上半期において目立ったセキュリティーのトピックといえば、世界中で流行したランサムウェアだろう。また、IoT機器を狙った攻撃も話題になることが多い。これらについては、報道などで聞いている、ある程度の知識を持っている……という人もいるはずだ。

 では、「ステガノグラフィー(steganography)」をご存知だろうか。ギリシャ語で「隠された」を意味するstegosと、「記述」を意味するgrafiaに由来する言葉。秘密のメッセージを隠すための理論や方法のこと。マカフィーは今回のレポートで、この手法を利用した攻撃について解説している。

 デジタルの世界におけるステガノグラフィーとは、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指す。たとえば音声による隠蔽では、人間の聴覚範囲を超えた周波数を利用し、オーディオファイルにノイズとしてメッセージを埋め込み、秘密の情報を伝送できる。

 デジタルのステガノグラフィーで最も一般的な形態は、画像を使用するものだ。カバー画像のピクセル値を直接操作したり、画像の一部の明るさ(輝度)を変更したりすることで、データを隠蔽、またはマスキングする。

 このステガノグラフィーを使って感染するマルウェアもある。たとえば、バナー広告の画像にコードを埋め込むというパターンだ。ユーザーがウェブサイトを閲覧しているとき、不正コードの含まれたバナーが表示されたとする。すると画像内に埋め込まれたスクリプトが、コンピューターの情報を悪意のある攻撃者のサーバーに送り、そこからウェブブラウザーの脆弱性を突いた攻撃がスタート。最終的に、コンピューターにマルウェアが送り込まれてしまうというものだ。

 このように、お気に入りのサイトを見るだけで感染してしまうケースもあるステガノグラフィー。古くからある手法だが、最近では、この方法による攻撃の有効性が注目されている。

 一部のマルウェアは検出を回避するため、ステガノグラフィーを利用し、無害に見えるカバーファイルに不正なコンテンツを隠す。ほとんどのマルウェア対策は構成ファイル内の不正なコンテンツを検出するのだが、ステガノグラフィーでは、構成ファイルがカバーファイルに埋め込まれていたり、メインメモリーに展開される場合があるため、検出は困難になる。

 つまり、ステガノグラフィーは、マルウェア対策による検出を回避できることが多いのだ。セキュリティーシステムの検知から逃れやすいとなれば、この手法を使用する攻撃が増加することが予想される。

 もちろん、セキュリティーベンダー側も黙ってみているわけではない。セキュリティーソフトでステガノグラフィーコードを含む既知のマルウェアを検知するだけでなく、未承認のアプリケーションとコードをブロックできるようにするなど、さまざまな対策を講じている。

 セキュリティーを取り巻く状況は日々移り変わっている。最新のデータを知り、セキュリティーへの意識を持つことが大事になってくるだろう。今回はMcAfeeの最新レポート概要を紹介しよう。レポートの詳細には、ステガノグラフィーについての解説と対策も載っているので、ぜひチェックしてほしい。

マルウェアやランサムウェアなど、83ページにおよぶMcAfee Labsの概要

 マカフィーは、McAfee Labs脅威レポート 2017年6月(対象期間:2017年1月~3月)を公開しました。今回のレポートは83ページという大作で、通常の脅威統計情報のほか、次の3つの興味深いトピックが含まれています。

  • マルウェア作成者が目的を達成するために、どのようにマルウェア検知回避技術を使用するかについて広く分析しています。主な内容は、回避技術に関する30年以上の歴史、入手可能な検知回避技術が流通する闇市場、現代のマルウェアファミリーによる検知回避技術の使用例、機械学習やハードウェアベースの検知回避などです。

  • 我々は、デジタル世界におけるステガノグラフィーについて研究しています。ステガノグラフィーとは、秘密のメッセージを隠すための理論や方法です。デジタルの世界では、画像、音声、動画、テキストファイルにメッセージを隠蔽することを指し、マルウェア作成者がセキュリティ システムの検知を逃れるために利用されます。マカフィーはこれを最新かつ重要な検知回避技術と考えており、具体的にどのように回避が行われるかを解説しています。

  • 我々は最も悪名高いパスワード窃取マルウェアであるFareitを分析しています。その起源や典型的な感染経路、アーキテクチャーや内部的な挙動、進化の過程、そして2016年のアメリカ合衆国大統領選挙を前に注目を集めた民主党全国委員会(DNC)の情報漏洩事件でどのように使用されたと考えられているか、などを解説しています。

 これらの重要な各トピックについて、McAfee製品がこれらの脅威に対しどのような保護機能を提供できるかを詳しく解説したソリューション概要資料も提供しています。

 次に、2017年第1四半期(2017年1月~3月)における脅威活動の広範な分析から、ハイライトをご紹介します。

マルウェア:新規マルウェアサンプル数は、過去3四半期は減少傾向にありましたが、2017年第1四半期は3,200万個に再度増加しました。そしてマルウェアサンプルの総数は、前年同期より22%増の6億7,000万個に達しました。

ランサムウェア:2017年第1四半期に新規ランサムウェアが再度増加したのは、主にAndroid OSを標的としたCongur系ランサムウェア攻撃によるものです。過去1年間のランサムウェアの合計サンプル数は、59%増の960万個に達しました。(私たちは次回のレポートで“WannaCry”についてお伝えする予定です)

モバイルマルウェア:アジア地域からのモバイルマルウェアの報告が倍増し、世界の感染率が57%上昇しました。過去4四半期で検知されたモバイルマルウェアの合計サンプル数は、1,670万個で前年同期比79%増を記録しました。

セキュリティインシデント:2017年第1四半期に公表されたセキュリティインシデントは、前期比53%増の301件を記録し、そのうち50%以上は医療、公共、教育部門で発生しました。また、第1四半期に公表されたすべてのセキュリティインシデントの78%がアメリカで発生しました。

 詳細はMcAfee Labsの脅威レポート 2017年6月をご覧ください。

カテゴリートップへ