見えない場所に隠れる：画像のステガノグラフィを使い、マルウェアがどのように隠蔽されるか解説。

サイバーセキュリティの分野では、攻撃者は常に進化し、ファイル内に悪意のあるコードを隠す新たな手法を開発しています。その一つがステガノグラフィー（隠し情報技術）であり、これは普通の非秘密のメッセージやファイルの中に秘密情報を隠す技術です。デジタル画像の文脈では、ステガノグラフィーは画像のピクセル内に秘密データを埋め込み、視覚的な見た目に影響を与えずに隠すことを指します。

ステガノグラフィーは機密情報の保護など正当な目的で使われることもありますが、攻撃者が一見無害なファイル内にマルウェアを隠すためにも利用されます。ステガノグラフィーで画像に隠されたマルウェアは従来のアンチウイルスソフトウェアによる検出を回避できるため、攻撃者にとって効果的な手段となっています。

攻撃者がステガノグラフィー技術を用いて画像内にマルウェアを隠す際には、通常以下の手順を踏みます：

1. 画像ファイルの選択：攻撃者は通常、JPEG、PNG、BMPなどの一般的な画像形式をマルウェアのキャリアファイルとして選びます。選択されたファイルは、ファイルサイズや見た目に大きな影響を与えずにマルウェアのペイロードを収容できるものでなければなりません。
2. マルウェアペイロードの作成：マルウェアペイロードとは、攻撃者が画像内に隠したいコードやデータのことです。ウイルス、トロイの木馬、バックドアなど、あらゆる種類のマルウェアがペイロードになり得ます。
3. ペイロードのエンコード：ペイロードはステガノグラフィー技術を用いてエンコードされ、新しい画像ファイルが作成されます。ペイロードはピクセルの最下位ビットを変更することで画像内に埋め込まれます。変更は微細であり、ピクセルの色の全体的な値に大きな影響を与えないため、人間の目には画像の変化は検出できません。
4. 画像の配布：攻撃者は隠されたマルウェアを含む画像ファイルを、メール、ソーシャルメディア、悪意あるウェブサイトなど様々なチャネルを通じて配布します。画像ファイルがダウンロードされて開かれると、隠されたマルウェアペイロードが実行され、被害者のシステムに害を及ぼす可能性があります。

ステガノグラフィーの検出は、画像に加えられる変更が非常に小さいため、アンチマルウェアツールにとって困難です。さらに、ステガノグラフィー攻撃はゼロデイ脅威として現れることが多く、検出はさらに難しくなります。
ステガノグラフィーを利用するマルウェアの例としてLokiBotがあります。LokiBotはユーザー名、パスワード、暗号通貨ウォレットなどの機密情報を盗みます。LokiBotは.jpgおよび.exeファイルとして自身をインストールし、.jpgファイルが実装に必要なデータのロックを解除します。
 

新しいLokiBotマルウェア変種がステガノグラフィーを用いてコードを隠蔽
LokiBotは情報窃取やキーロギングで知られるマルウェアファミリーですが、検出回避能力を向上させる新機能が追加されました。Trend Micro Researchによる最近の分析では、新しいLokiBot変種がステガノグラフィーを利用してコードを画像ファイル