JPEG に潜むマルウェア:ステガノグラフィと Base64 難読化を巧妙に実装

Malicious Payload Found in JPEG Image Using Steganography and Base64 Obfuscation

2025/06/16 gbhackers — 無害に見える JPEG イメージの中に、悪意のペイロードを隠す巧妙な手法を、サイバー・セキュリティ研修者である Xavier が明らかにした。この発見が浮き彫りにするのは、データの中に悪意を隠すステガノグラフィ技術を用いるサイバー脅威が、その複雑さが増している状況であり、情報セキュリティ・コミュニティで大きな関心を集めている。これらの隠されたペイロードを、動的な解析により発見できるという Xavier の発見は、こうした脅威を解読するための、説得力のあるケース・スタディとなっている。

隠されたペイロードを動的解析で発見

疑わしいネットワーク・アクティビティの動的解析中に、疑わしいドメイン “hxxps://zynova[.]kesug[.]com/new_image.jpg” から、悪意の JPEG イメージがダウンロードされている状況が明らかになった。

これまでに Xavier が実施してきた静的解析とは異なり、この動的解析は、制御された環境におけるシステムまたはファイルの動作を観察し、悪意のアクティビティの検出に重点を置くものだという。

ダウンロードした画像を、”jpegdump.py” などの専用ツールで詳しく調べたところ、EOI (End Of Image) マーカーの後に、データが追加されていることが判明した。

SANS のレポートによると、標準的な画像ビューアでは見過ごされがちな末尾のデータは、目に見える場所に悪意のコンテンツを隠す、ステガノグラフィの典型的な特徴とのことだ。

分析中にフラグが付けられた、悪意の追加コンテンツには “TVqQ” という文字で始まるエンコードされたデータが取り込まれていた。それが重要な手がかりだと、Xavier は指摘している。

バイナリ・データに詳しい技術者なら、この “TVqQ” は、Windows 実行ファイルに関連付けられる、Portable Executable (PE) ファイルのマジック・ヘッダーである “MZ” の Base64 エンコードであることが分かるはずだ。

それに加えて、Base64 文字列内に “@” 文字が含まれていることは、標準的な Base64 文字セットから外れているため、警戒すべき点である。この異常は、自動デコードツールを阻止するために設計された、難読化手法だと示唆される。

さらに調査を進めた Xavier は、”byte-stats.py” などのスクリプトを用いて、このペイロードのバイト列の統計分析を実施した。

その結果として、興味深いパターンが明らかになった。このペイロードには “A” 除く、すべてのアルファベット文字が含まれていた。そこから立てられた仮説は、”@” 記号が “A” の代わりとして使用され、エンコードを隠蔽しているというものだ。

Steganography
@ character

この仮説の検証は、実りあるものだった。つまり、”@” を “A” に置き換えた後に、base64dump.py などのツールを用いて、Base64 文字列を正しくデコードできたのだ。

デコードされた出力は、確かに “MA” ヘッダーで始まっており、イメージ内に PE ファイルが隠されていることが確認された。

悪意のペイロードの検証

Xavier の調査結果との整合性を確認するために、デコードされたペイロードの SHA256 ハッシュを計算し、彼が公開したハッシュと比較した。研究者たちは、環境変数 DSS_DEFAULT_HASH_ALGORITHMS を設定し、SHA256 を MD5 よりも優先させることで、適切なハッシュ値の生成に成功した。

結果は完全に一致し、隠されたペイロードは、Xavier が悪意と特定した “.NET DLL” と同じであることが確認された。

この発見が強調するのは、デジタル資産に隠された脅威を発見/検証するために、動的解析と専門ツールを組み合わせることの重要性である。この事例が示すのは、サイバー犯罪者が画像イメージなどの日常的なファイルに、マルウェアを埋め込む戦術が進化していることだ。

ステガノグラフィや、Base64 エンコードにおける文字の置換といったカスタム難読化手法を活用することで、攻撃者たちは、従来のセキュリティ対策を回避していく。

これらの脅威に対して、サイバー・セキュリティの専門家たちが先手を打つためには、ファイル構造やエンコード技術に関する深い理解と、型破りな仮説を検証し続ける粘り強さが求められる。

Xavier の成果は、現実の世界における脅威を明らかにするだけでなく、サイバー犯罪との戦いにおける分析アプローチを洗練という、新たな刺激をコミュニティに与えている。

JPEG イメージに悪意のペイロードを隠す手法の分析は、とても興味深いものです。EOI マーカー以降にデータを埋め込むステガノグラフィの応用や、Base64 の文字置換による難読化は、静的解析では気づきにくいものなのでしょう。よろしければ、Steganography で検索も、ご利用ください。