気付かないうちに忍び寄る“透明な脅威”　ポリグロット手法についてKasperskyが解説：ただのコード隠蔽と何が違うのか？

　セキュリティフレームワーク「MITRE ATT&CK」では、ポリグロット手法で作成されたファイル（ポログロットファイル）を「複数のファイル形式に該当し、起動されるアプリケーションによって異なる動作をするファイル」と定義している。攻撃者はこれをマルウェアの偽装手段として利用する。こうしたファイルは、利用者や一部の基本的なセキュリティ対策の視点では画像や文書などの無害なファイルに見えるが、実際には内部に悪意あるコードが含まれている。

　さらに、このマルウェアコードは、複数のプログラミング言語で同時に記述されることもある。これによって、異なる実行環境でも動作するだけでなく、解析の難易度も高くなっている。

　攻撃者はさまざまな形式の組み合わせを利用する。Palo Alto Networksのセキュリティチーム「Unit42」による調査では、「Microsoft Compiled HTML Help」形式（拡張子は.chm）のファイルが、実際にはHTMLアプリケーション（.htaファイル）として動作したという攻撃事例が報告されている。また、「.jpeg」形式の画像ファイルの中に、実際は「.phar」形式のPHPアーカイブが埋め込まれていたケースもあった。他にも、実行可能なコードが「.zip」形式のアーカイブファイルの中に隠されていたこともあった。

ファントムピラミッド攻撃におけるポリグロットファイル

　Kasperskyのセキュリティチームが確認した攻撃では、拡張子が.zipのファイルが使われており、通常の圧縮解凍ソフトで開くことができた。しかし実際にはバイナリ形式の実行ファイルで、その末尾に小さなZIPアーカイブが追加された構造になっていた。

　ZIPアーカイブ内には「.pdf.lnk」という二重拡張子のショートカットファイルが含まれており、ユーザーがこれをPDFファイルと誤認してクリックすると、「PowerShell」スクリプトが自動実行される。このスクリプトは、悪意のあるコードを含むZIPファイルを実行ファイルとして起動すると同時に、Tempフォルダ内にダミーのPDFファイルを生成し、ユーザーに「正常にPDFが表示された」と錯覚させる仕組みになっていた。

安全を確保するには

　悪意あるコードの実行を防ぐには、インターネットに接続される全てのPCに、信頼性の高いセキュリティサービスを導入することが重要だ。サイバー攻撃の多くは、マルウェア付きメールやソーシャルエンジニアリングによるメールを起点としているため、企業のメール中継サーバレベルでセキュリティサービスを導入するのも効果的だ。

　さらに、脅威インテリジェンスサービスを活用し、攻撃者の手法、戦術、行動手順（TTP：Techniques, Tactics, and Procedures）に関する最新情報を得ることも重要だ。