「ステガノグラフィー」で隠された情報を読み解く
冬の平昌を襲った「GoldDragon作戦」
2018年08月04日 12時00分更新
“黄金の龍”に襲われた平昌の冬
世界が注目した2018年2月の朝鮮半島。華々しいアスリートたちの活躍の裏で、ネットワークを巡る壮絶な攻撃が仕掛けられていました。
遡ること2ヵ月、McAfee Advanced Threat Research(ATR)のアナリストが、平昌オリンピック関連の組織を狙う攻撃を発見。2018年1月11日付のMcAfeeブログによると、インフラ提供や支援業務を担当するオリンピック関連の組織へ向けて、シンガポールのIPアドレスから電子メールで不正なMicrosoft Word文書が送られてきたそうです。
文書にはVisual Basicマクロが組み込まれており、コンテンツを有効にするとPowerShellスクリプトが起動。チェコの正規事業者から画像ファイルをダウンロードして読み込み、そこに密かに埋め込まれた実行用のPowerShellスクリプトを抽出します。そして攻撃側が被害者のマシン上でコマンドを実行し、別のマルウェアをインストールできるようになる、とMcAfee ATRは分析しています。
マカフィーは2018年2月5日のブログでこの攻撃の続報を公表。スクリプトは4種類に分類され、コード内で使用されているフレーズをもとにそれぞれ「Gold Dragon」「Brave Prince」「Ghost419」「Running Rat」と名付けられ、システム内の多様な情報を盗み出すといった、動作の実体が報告されました。ブログでは特に「一部のスクリプトは、韓国に特有のHangul word processor(HWP)が実行されている場合だけ、その持続性を発揮する」とされたことから、ハングルを扱う人間や組織の犯行が疑われています。
マカフィーが「GoldDragon作戦」と名付けた一連の攻撃は英国BBCをはじめとしたメディアで取り上げられ、ITニュース専門ブログメディアのWIREDでは、北朝鮮からの攻撃を疑う記事が2月9日と2月19日の2度に渡って公開されました。このほかにも平昌は様々なサイバー攻撃を受けており、特にマルウェア「Olympic Destroyer」は大会運営に支障をきたす深刻な障害を引き起こしました。
The Guardian紙は2018年2月10日付の記事で、マルウェアの影響によりメディアセンターのWi-Fiがダウンしたと報道。2018年2月20日付のトレンドマイクロ公式ブログや2018年3月10日付のカスペルスキー公式ブログでは、チケット発券システムや、開会式の演出で予定されていたドローン演出システムなどのダウンといった影響に加えて、Olympic Destroyerの仕組みを詳細に解説しています。
データに別のデータを埋め込む「ステガノグラフィー」技術
GoldDragonで用いられた画像ファイルへのPowerShellスクリプト折込みのような技術を「ステガノグラフィー」と呼びます。これはある情報をほかの情報に埋め込む技術の総称で、デジタルの世界では画像や音声などのデータにテキストやスクリプトなどのまったく異なるデータを隠蔽する、という手法が有名です。
情報埋め込みという考え方自体は古くからあり、日本人になじみ深いのは、伊勢物語・古今和歌集に収められている在原業平の「唐衣 着つつなれにし つましあれば はるばる来ぬる 旅をしぞ思ふ」という和歌ではないでしょうか。「かきつばたといふ五文字(いつもじ)を句の上に据へて、旅のこゝろを詠め」というお題のとおり、この歌の各句頭5文字を取ると「かきつばた」という言葉が現れます。“折り句”と呼ばれるこの文章技法も、ステガノグラフィーの一種なのです。
2011年9月2日付のシマンテック公式ブログでは「暗号化では通信チャネルではなくメッセージが秘匿され、ステガノグラフィでは通信チャネル自体が秘匿される」と、暗号化との違いを説明しています。ちなみに該当のシマンテック公式ブログの文章も在原業平の歌と同じく、各パラグラフの頭文字を抜き出すとメッセージが現れます。新聞のテレビ欄などにも、同じ技法で時々メッセージが隠されていますね。
サイバーセキュリティーにおけるステガノグラフィーの実例として、2015年5月8日付のトレンドマイクロ公式ブログでは画像ファイルを使ったオンライン銀行詐欺ツール「ZBOT」や、Androidアプリのアイコンに環境設定情報を隠蔽した「FakeReg」などを紹介しています。2016年12月6日付のESET公式ブログでは、広告バナーにマルウェアを仕込むという例を解説。ウェブページのバナーを見ただけで発動するというこのマルウェアは、被害にあったシステムにバックドアやスパイウェア、トロイの木馬など、様々なマルウェアを呼び込んでいたようです。
ステガノグラフィーを悪用された場合、様々な被害が予想されます。ですがステガノグラフィー自体は単なる情報埋め込み技術でしかなく、実際に破壊行動を起こすのは埋め込まれたマルウェアです。サイバー攻撃を防ぐ一番の手段は、いつだって最新のセキュリティーパッチを適用することと、常にバックアップを取っておくことなのです。
この連載では、カクヨムで開催中の『サイバーセキュリティー小説コンテスト』を応援するべく、関連用語やその実例を紹介していきます。作品の深さを出すためには単に小説を組み立てるだけでなく、サイバーセキュリティーに関する知識も必要。コンテストに参加するな悩める小説家も、そうでない方も、改めてサイバーセキュリティー用語をおさらいしてみましょう。
サイバーセキュリティー小説コンテスト
ジャンル
サイバーセキュリティに関連する小説であれば、SF、異世界もの、体験などジャンルは自由
応募
プロアマ問わず。カクヨムへの会員登録が必要
大賞1名
賞金100万円+書籍化
スポンサー賞
マイクロソフト賞、サイボウズ賞、日立システムズ賞 各1名
応募期間
3月31日~8月31日
主催
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
運営
株式会社KADOKAWA
後援
サイバーセキュリティ戦略本部(協力:内閣サイバーセキュリティセンター NISC)
協賛
日本マイクロソフト株式会社/サイボウズ株式会社/株式会社日立システムズ/株式会社シマンテック/トレンドマイクロ株式会社/株式会社日本レジストリサービス(JPRS)/株式会社ベネッセインフォシェル
この連載の記事
-
第10回
デジタル
82億のBluetoothデバイスに潜むセキュリティーホール「BlueBorne」 -
第8回
デジタル
世界中で“身代金”を要求した「WannaCry」 -
第7回
デジタル
「iPhoneセキュリティーに“裏口”を作れ」 FBIの要求がアップルを怒らせた -
第6回
デジタル
日本年金機構の狙い撃ちで前代未聞の情報流出を招いた「Blue Termite」 -
第5回
デジタル
中国発信で、2億5000万台のPCに被害が出たといわれる「Fireball」 -
第4回
デジタル
LINEの情報を狙うイタリアンスパイ「Skygofree」 -
第3回
デジタル
官公庁にも広まっていた「Antinny」 -
第2回
デジタル
メールの一斉送信でサーバーがダウン「Melissa」 -
第1回
デジタル
ネットへの好奇心で世界が大混乱した「Morris worm」 -
デジタル
ラノベに使えるサイバーセキュリティーネタ - この連載の一覧へ