画像にマルウェアの命令を隠す!? AIを活用したC2フレームワークの可能性

はじめに

今回は「Black Hat Asia 2025」で発表された「AI Powered Image Based Command and Control (C2) Framework Utilizing AI Models to Conceal and Extract Commands in C2 Images」という講演を紹介します。

これはPalo Alto Networksの研究者たちによる講演です。C2コマンドをAIモデルを用いて画像に隠蔽する、いわゆる「ステガノグラフィ」技術を活用することで、従来のネットワークセキュリティ製品やフォレンジックを回避しようという研究です(後述)。

既存のステガノグラフィでは、マルウェア内に実装されたデコードのコードを検出できるのに対し、悪意のあるAIモデルを用いることでデコードのロジックをハードコードする必要がなくなり、またAIモデル自体は正規のファイルとして扱われるため、従来のシグネチャによる検出が困難になるという内容です。

次のBlack Hatの講演内容紹介ページにスライドと論文へのリンクがあります。

【参照】AI-Powered Image-Based Command and Control (C2) Framework: Utilizing AI Models to Conceal and Extract Commands in C2 Images
https://www.blackhat.com/asia-25/briefings/schedule/#ai-powered-image-based-command-and-control-c2-framework-utilizing-ai-models-to-conceal-and-extract-commands-in-c2-images-43954

C2とは

攻撃者のインフラ、手法を指す総称「C2」

本題に入る前に、簡単に「C2」(コマンド＆コントロール)の概要を説明します。C2は攻撃者がマルウェアに感染させたコンピューター群を、外部から遠隔操作するためのインフラや通信手法全体を指す総称です。

攻撃者は、C2を通じて以下のような活動を行います。

• 情報の窃取(機密情報、個人情報など)
• さらなるマルウェアのダウンロードと実行
• DDoS攻撃などの踏み台としての利用
• ネットワーク内部での横展開

攻撃者管理のC2サーバ

C2インフラの中核を担うのが、攻撃者が管理する「C2サーバー」です。攻撃者はこのサーバーを介して、侵害した多数のコンピュータに対して一斉、または個別に命令を送信します。標的から窃取された情報は、このC2サーバーに集約されます。

侵害したコンピュータで動作するC2エージェント

「C2エージェント」は標的のコンピュータにインストールされるマルウェアです。一度実行されるとC2サーバと定期的に通信を行い、攻撃者からの指令を待ち受けます。

バックドアとして機能し、システムの正規のプロセスに偽装するなどして、アンチウイルスソフトによる検知を逃れようとします。

ツール化されたC2フレームワーク

「C2フレームワーク」は、C2サーバーとC2エージェントの機能をパッケージ化した攻撃用のツールキットです。これにより、攻撃者は高度な専門知識がなくとも、比較的容易にC2インフラを構築・運用できます。

従来のステガノグラフィを利用したC2

攻撃者は、C2サーバとの通信内容をセキュリティ製品から隠蔽するために、様々な手口を使います。その1つが「ステガノグラフィ」という画像や音声などのデータの中に、別の情報を埋め込んで隠す技術です。

攻撃者はこの技術を使い、一見すると普通の画像に見えるファイルにC2サーバからの命令を隠します。これにより、ネットワーク上では「普通の画像をダウンロードしている」ようにしか見えず、攻撃が検知されにくくなります。

しかし、この従来の手法には弱点がありました。画像から命令を解読するためのデコード処理(パーサー)がプログラムとしてハードコードされている必要があるため、そのプログラムをリバースエンジニアリングすれば「これは画像から何かを読み出そうとしている怪しいプログラムだ」と見抜くことができたのです。

C2フレームワークにAIモデルを用いた
ステガノグラフィを組み込む

冒頭で紹介した講演で提案されたのは、この課題をAIモデルで解決する新しい手法です。具体的には、コマンドのエンコードとデコードをAIモデルに担わせることで、攻撃者は無害に見える画像とAIモデルを用いてセキュリティ製品の検知を回避しつつ、C2通信を確立できるのです。

攻撃の流れ

提案された手法による攻撃は、以下の流れで実行されます。

1. 準備段階：AIモデルの学習
まず、侵害した端末への命令と通常の画像ファイルを用意します。そして、AIにこの画像をほとんど変化させずに命令を埋め込む「エンコーダ」と、その画像から命令を正確に抽出する「デコーダ」の役割を学習させます。

学習の結果、人間の目には元の画像と全く区別がつかない「命令入り画像」と、その画像専用の「デコーダーAIモデル」が完成します。作成されたデコーダーAIモデルは、あらかじめGitHubやHugging Faceのような公開リポジトリにアップロードしておきます。

信頼性の高いWebサイトをファイルの配布に利用するのは、そこからのファイルダウンロードが正規の活動に見えやすく、セキュリティ製品の監視を逃れやすくなるためです。

2. 攻撃の実行
侵害した端末で動作するC2エージェントは、C2サーバーから送られてきた「命令入り画像」を受け取り、公開リポジトリから「デコーダーAIモデル」をダウンロードします。C2エージェントはダウンロードしたAIモデルを使って画像から命令を抽出し、実行します。

実行結果は、同様の手法で画像から抽出した暗号鍵を使って暗号化され、C2サーバーに送り返されます。

ステガノグラフィにAIモデルを用いる利点

ステガノグラフィにAIモデルを用いる最大の利点は、命令を解読するのはプログラムではなく、学習済みの「AIモデル」である点です。そのため、デコード処理をハードコードしておく必要がなくなります。AIモデル自体はありふれたファイル形式であり、実行ファイルを対象にしたコード解析ではマルウェアとは判断できません。

さらに、シグネチャベースの検出を容易に回避できるという利点もあります。多くのウイルス対策ソフトは、ファイルのハッシュ値などを既知のマルウェアのシグネチャと照合して検出します。しかし、AIモデルは再学習によって容易にハッシュ値を変更できるため、このシグネチャベースの検出手法は効果的に機能しません。

おわりに

今回は、ステガノグラフィにAIを活用することで、検出が困難な新しいC2フレームワークの手法に関する研究の講演を紹介しました。この研究の新規性は既存のAI技術を攻撃手法に応用し、実用的な精度で実装した点にあると言えるでしょう。また、この研究はAIが攻撃者にとって強力な武器となり得ることを示唆していると考えています。

今後、AIを悪用した攻撃手法はさらに巧妙化し、増加していくと予想されます。その防御側として、従来のシグネチャによる検出だけでなく、AIモデルの振る舞いを監視・分析するような、セキュリティ対策が必要になるでしょう。