北朝鮮と関連があるハッキング組織「ＡＰＴ３７」がイメージファイルに悪性コードを隠して流布するなど、サイバー攻撃手法をさらに精巧化していることが明らかになった。

サイバーセキュリティー企業ジニアンスが４日に発表したリスク分析報告書によると、ＡＰＴ３７が最近、悪性．ｌｎｋファイルとステガノグラフィー（情報隠匿技術）を活用した攻撃をした状況が捕捉された。


ジニアンスはＡＰＴ３７が「国家情報と防諜原稿．ｚｉｐ」という名の圧縮ファイルを通じて悪性コードを流布したと説明した。この圧縮ファイルには「国家情報と防諜原稿．ｌｎｋ」ファイルが含まれ、約５４ＭＢの同ファイルはおとり用の正常文書とともにシェルコードなどの悪性コードを隠していて、大きさが非正常的に大きかった。使用者がこのファイルを実行すれば外部から情報を盗み出す悪性コードが自動でダウンロードされて実行される方式だ。


別の攻撃ではステガノグラフィー技法を利用してＪＰＥＧイメージフォーマット内に悪性コードを挿入する手法が確認された。こうした類型の悪性コードは一般的なワクチンプログラムやセキュリティーシステムでは探知と遮断が難しいほど精巧に設計されたとというのが、セキュリティー業界の説明だ。

ジニアンスは「メールやメッセンジャーなどで伝達された圧縮ファイルに．ｌｎｋファイルが含まれていれば、かなり高い確率で悪性コードである可能性がある」とし「セキュリティー管理者は最新の脅威の流入経路とファイル拡張子概念、アイコンの固有の特徴などを熟知しなければいけない」と強調した。