上野 清雅

2025年度NTTドコモビジネス株式会社に新卒入社。オフェンシブセキュリティエンジニアとして、攻撃者視点での攻撃手法の調査・研究および、RedTeam業務支援を行なっている。

LLMを用いた自然言語ステガノグラフィによるC2通信

本発表では、防御側が将来的に考慮すべき新たなC2通信の脅威モデルを、攻撃者視点から検討します。マルウェアに感染した被害者端末は、攻撃者のC2サーバーとコマンドや実行結果をやり取りするため、何らかのC2通信を行う必要があります。しかし近年、C2通信に対する監視は高度化しており、組織によってはDPI（Deep Packet Inspection）やコンテンツ検査まで含めて実施されます。このような環境下では、HTTPS通信の内部をさらに暗号化するなどの秘匿化手法が用いられることが多い一方で、攻撃者視点では、通信内容を秘匿するだけでは十分な検知回避にならない場合があります。むしろ、高エントロピーなペイロードや不自然なデータ形態そのものが、監視側にとって検知の手掛かりとなり得ます。
　そこで本発表では、LLMを利用した自然言語ステガノグラフィに着目します。自然言語ステガノグラフィとは、一見すると通常の文章に見えるテキストの中に、第三者には目立たない形で別の情報を埋め込む技術です。本発表では、コマンドや端末状態を自然文中に埋め込んだ場合に、自然言語ベースのC2通信がどのように成立し得るかをPoCを通じて検証します。さらに、SNSやWebサイトなどの公開プラットフォームがその媒介となり得る可能性についても取り上げます。あわせて、通信内容だけでは検知が難しいこの種の通信に対し、防御側がどのような観点で検知・分析すべきかについて議論します。