ステガノグラフィは、情報が存在していること自体を隠すことを目的としており、その歴史は古代ギリシャまで遡ります。今日では、メディアファイルに情報を埋め込む技術として広く利用されており、サイバー攻撃の手法としても悪用されることがあります。

本記事では、ステガノグラフィの基本的な定義からその仕組み、悪意ある目的で利用される場合のマルウェア感染の流れについて詳しく解説します。

アクトのサイバーセキュリティサービス

ステガノグラフィとは

ステガノグラフィとは、情報を他のデータに埋め込み、情報の存在自体を隠すことを目的とした技術です。この技術は、デジタルファイルに見えない形で情報を埋め込む方法として利用されます。

この技術の歴史は古く、古代ギリシャでは、木製の板にメッセージを彫り、その上にワックスを塗って隠すという手法が用いられていました。名前もギリシャ語の「steganos(隠された)」と「graphy(書くこと)」が由来です。
デジタル時代においては、特定のアルゴリズムを使用してピクセルの色を微妙に変更することで、画像ファイルにデータを埋め込むことが一般的です。

具体的な例として、ステガノグラフィは以下のように利用されます:

  1. 画像ファイル:画像のピクセルの色を微妙に変更することで、テキストメッセージや他のデータを埋め込むことができます。人間の目ではこれらの変更を識別することは困難ですが、特定のソフトウェアを使用することで、埋め込まれたデータを抽出することが可能です。
  2. 音声ファイル:音声ファイルの特定の周波数帯域にデータを埋め込むことで、秘密のメッセージを隠すことができます。これにより、音声ファイルを聞いただけでは隠されたデータを認識することはできません。
  3. ビデオファイル:ビデオフレームの一部にデータを埋め込むことで、長いメッセージを隠すことができます。ビデオは大量のデータを含んでいるため、比較的大きなデータを埋め込むのに適しています。

ステガノグラフィはその秘匿性の高さから、合法的な用途だけでなく悪意ある目的でも使用されることがあります。例えば、マルウェアを画像ファイルに隠し検出を回避する手法を取ることがあります。

ステガノグラフィの仕組み

ステガノグラフィの基本的な仕組みは、データをホストメディアに埋め込むことです。例えば、画像ファイルに秘密のメッセージを埋め込む場合、画像のピクセルの色を微妙に変更することでデータを隠します。人間の目ではこの変化を識別することは困難ですが、適切なソフトウェアを使用すれば情報を取り出すことが可能です。この手法は、情報の秘匿性を高めるために広く利用されています。

ステガノグラフィを悪用したマルウェア感染の流れ

なりすましメールの送付

攻撃者はまず、標的に対してなりすましメールを送信します。このメールは、信頼できる送信者を装ったものであり、受信者が疑わずに開封するように設計されています。メールには、ステガノグラフィを使用してマルウェアが埋め込まれた添付ファイルが含まれています。

メールに添付したファイルの開封

受信者がなりすましメールの添付ファイルを開封すると、ステガノグラフィを使用して隠されたデータが展開されます。この段階では、ファイルは見た目には無害に見えるため、受信者は何も疑いません。

マクロの有効化

添付ファイルが開かれた後、次にマクロが有効化されると、マルウェアが実行される準備が整います。マクロは、文書内で自動的に実行される小さなプログラムであり、これがマルウェアの展開に利用されます。

PowerShellの起動と画像ダウンロード

マクロが有効化された後、PowerShellスクリプトが実行されます。このスクリプトは、インターネットから追加の画像ファイルをダウンロードし、その中に隠されたマルウェアを展開します。PowerShellは、Windows環境でスクリプトの実行やシステム管理を行うための強力なツールです。

画像内のプログラム実行

ダウンロードされた画像ファイル内に隠されたプログラムが実行され、これによりマルウェアがシステム内にインストールされます。ステガノグラフィを利用することで、通常のセキュリティ対策を回避し、悪意あるプログラムを実行することが可能になります。

マルウェア感染

最終的に、ステガノグラフィを利用してシステムに侵入したマルウェアは、データの盗み取りや破壊、ランサムウェアの展開など、さまざまな悪意ある活動を行います。これにより、企業や個人に甚大な被害をもたらすことがあるため早急な対策が求められます。

ステガノグラフィと暗号の違い

ステガノグラフィと暗号は、どちらも情報を保護するための技術ですが、そのアプローチは異なります。暗号は情報を変換して第三者が理解できない形にすることで保護します。一方、ステガノグラフィは情報が存在すること自体を隠す技術です。したがって、ステガノグラフィは暗号とは異なり、情報があること自体を気づかせない点が特徴です。

アクトのサイバーセキュリティ対策支援

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。

Sentinelone