{
	"id": "3a46a791-b887-40cf-819a-8000366c0d05",
	"created_at": "2026-04-06T00:15:01.767447Z",
	"updated_at": "2026-04-10T13:11:40.654272Z",
	"deleted_at": null,
	"sha1_hash": "81a19576c59d4dfc4687cd3a811485386687aaea",
	"title": "Olympic Destroyerの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1995453,
	"plain_text": "Olympic Destroyerの内部構造を紐解く | 技術者ブログ | 三井物産\r\nセキュアディレクション株式会社\r\nArchived: 2026-04-05 15:17:41 UTC\r\n2月8日から韓国で開催されている平昌オリンピックが日々世間を賑わせているさなか、平昌オリンピ\r\nックを狙ったサイバー攻撃に関する情報が水面下で流れています。\r\n2月9日頃から平昌オリンピック組織委員会の内部でシステムトラブルが発生していた問題で、2月11日\r\nになり平昌オリンピック組織委員会から一連の障害はサイバー攻撃によるものと明らかにされまし\r\nた。\r\nまた、CiscoのTalosはこの攻撃に用いられたとみられるマルウェア「Olympic Destroyer」（オリンピッ\r\nク・デストロイヤー）に関する情報を公開しました（※1）。（なお、Talosは公開時点で当該情報を中\r\n程度の信頼度としています）\r\n(※１：Olympic Destroyer Takes Aim At Winter Olympics：http://blog.talosintelligence.com/2018/02/olympic-destroyer.html)\r\n我々は「Olympic Destroyer」とされている検体の一つを入手し、独自に解析を進めた結果、調査時点で\r\n新たにいくらかの興味深い解析結果が見えてきたため、以下にマルウェアの全体像と共にまとめて共\r\n有します。\r\n「Olympic Destroyer」の構成図\r\nOlympic Destroyerの本体は実行形式（EXE）ファイルであり、自身の内部（リソースセクション）に５\r\nつの難読化されたファイルを保有しています。これらのファイルはそれぞれ目的をもったEXEファイ\r\nルであり、必要に応じて復号・使用されます。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 1 of 10\n\n図１ Olympic Destroyerの構成図\r\nリソースファイルの一部には、昨年度話題となった「NotPetya」と同様に、正規プログラムである\r\n「PsExec」を横展開時に利用するために難読化して保有しています。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 2 of 10\n\n図2 リソースセクションに埋め込まれているPsExec\r\n「Olympic Destroyer」の挙動\r\nOlympic Destroyerは、実行されると、%temp%フォルダに以下のEXEファイルを作成します。\r\n%temp%\\\u003cランダムな文字列\u003e.exe ・・・（１）パスワードダンプツール①（ログイン情報用）\r\n%temp%\\\u003cランダムな文字列\u003e.exe ・・・（２）パスワードダンプツール②（ブラウザ情報等用）\r\n%temp%\\\u003cランダムな文字列\u003e.exe ・・・（３）PsExec（正規プログラム／リモート実行ツール）\r\n%temp%\\\u003cランダムな文字列\u003e.exe ・・・（４）ワーム活動・証拠隠滅・障害活動\r\nまず（１）と（２）のEXEファイルを実行することで、OSのログイン情報および、ブラウザの保存情\r\n報などの各種ログイン情報・パスワード情報を取得します。\r\n次に、（３）と（４）のEXEファイルを利用してネットワークを介したワーム活動と破壊活動を行い\r\nます。具体的には、GetIPNetTableによりARPテーブル情報を取得し、WMI（”SELECT ds_cn FROM\r\nds_computer”クエリ）を利用して得られた端末一覧情報を取得、それらの宛先に対し、自身が上記でド\r\nロップしたPsExecを利用することでリモート先への自身のコピー及びリモート実行を行う事で横展開\r\n（ワーム活動）を行います。その際上記で摂取したログイン情報を横展開のアクセス試行に利用しま\r\nす。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 3 of 10\n\n（４）のEXEファイルは横展開の動作を終えると、以下の証拠隠滅および破壊活動に関わる動作を行\r\nいます。\r\nボリュームシャドーコピー（システムの復元）の削除\r\nシステムバックアップの削除（wbadminによる）\r\nOSのスタートアップ修復の無効化\r\nイベントログ（SYSTEMおよびSECURITY）の削除\r\n全てのサービスの無効化\r\nファイル共有されているファイルの一部を0で上書き破壊\r\nこれらの破壊動作を行った後、強制的に端末をシャットダウンします。\r\n図３ 破壊活動に関連した処理を行うコード領域\r\n図４ 全てのサービスを停止させる挙動\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 4 of 10\n\n以下は、ファイル共有されているファイルを上書きする処理ですが、先頭から一部だけ上書きするこ\r\nとでファイルヘッダを破壊しつつ書き込みサイズを抑え効率的にファイルを破損させていきます。フ\r\nァイルを破壊する際、ファイルの内容を事前に読み込む処理がないため、復元を予定した暗号化等の\r\n処理ではなく単純な破壊目的であることがわかります。\r\n図５ ファイルを一部のサイズだけ０で上書きする処理\r\n一方Olympic Destroyer本体は、上記（４）のEXEファイルの動作と並行して自身の隠蔽（消滅）を行い\r\nます。具体的には、正規プログラムである「notepad.exe」を隠し状態で起動しWriteProcessMemoryによ\r\nりコードインジェクションを実施、CreateRemoteThreadで「notepad.exe」内に書き込まれたコードを実\r\n行します。そのコードにより、Olympic Destroyerの本体が削除されます。（なおその際、Olympic\r\nDestroyerの本体は意味のないデータで内容を上書きされた上で削除されます。これには、フォレンジ\r\nックを困難にさせる目的があると推測されます。）その後、notepad.exeは終了します。\r\n図6 notepad.exeにインジェクションされたコードが本体を削除する部分\r\nOlympic Destroyerの主な挙動は以上であり比較的シンプルなものとなっています。\r\n摂取した情報をC\u0026Cサーバ等へ流出させる動作やバックドアに類似するような挙動などは持ち合わせ\r\nていません。また、明確な破壊活動と容易に判断できるようなMBRの破壊や大量ファイルの暗号化等\r\nの挙動なども持ちません。これらのことから、あくまで感染したコンピューターに「システム障害」\r\nが発生したと思わせ被害者側を混乱させる目的等があったと推測することができます。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 5 of 10\n\nなお一連の感染が行われた後、コンピューターは起動させると以下のようにOSの起動画面とブルース\r\nクリーンが繰り返し表示され正常に使用することが困難となることを確認しています。\r\n図７ Olympic Destroyerに感染しシャットダウンした後のPCの起動様子（Windows7 x86環境）\r\n解析で見えた注目すべきポイント１（管理者権限で実行される前提の作りと侵\r\n入経路）\r\nOlympic Destroyerは、LSASSからの認証情報窃取やvssadmin等を利用した破壊活動の挙動があります\r\nが、これらの操作の一部は管理者権限でないと実行することができません。また一方で、実行された\r\n時点で自身のプロセスが管理者権限を持っていない場合UACを表示させるなどの権限昇格を要求する\r\n挙動も見られません。つまり一般に確認されているOlympic Destroyerの検体ははじめから管理者権限で\r\n実行されることを前提とした作りになっているようにみえます。本記事執筆時点でOlympic Destroyerの\r\n侵入経路は明らかになっていませんが、管理者権限での動作が前提となっていることを考慮すると、\r\nOlympic Destroyerには管理者権限を持ったさらに一段階上の階層となるドロッパー（親検体）がいた\r\nか、脆弱性を悪用した権限昇格による攻撃を用いた侵入経路が想定できます。ただし、管理者権限の\r\n実行権限がなくとも（権限がないことにより一部の処理に失敗しつつ）表面上はエラーなく一部の動\r\n作（保有しているパスワードを用いた横展開等）は継続できることから、完全に動作しないというわ\r\nけではない点に注意が必要です。\r\n解析で見えた注目すべきポイント２（取得したログイン情報の自身への埋め込\r\nみによる利用）\r\n現在一般に入手できるOlympic Destroyerの検体には、複数のログイン情報と思われる文字列がバイナリ\r\nに直接埋め込まれており、その多くが「Pyeongchang2018」というドメイン名と思われる文字列を含ん\r\nでいることがわかっています。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 6 of 10\n\n図８ 埋め込まれたログイン情報の概念図\r\n図９ 「Pyeongchang2018」という文字列が多くみうけられるログイン情報\r\n我々の調査の結果、Olympic Destroyerは感染時に窃取したログイン情報（ユーザ名とパスワード）の文\r\n字列を自身のバイナリの中間領域に埋め込んでいく挙動があることを確認しました。\r\n窃取情報の埋め込みがバイナリの末尾ではなく中間領域であることからファイルサイズは変化しない\r\nため、見逃してしまう可能性がある挙動の一つです。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 7 of 10\n\n図１０ Olympic Destroyerが感染するたびにログイン情報を埋め込んでいく概念図\r\n以下は、実際に我々の検証環境で感染させた際の実行前後のOlympic Destroyerの差分結果ですが、パス\r\nワードダンプツールにより摂取した情報を自身の内部に追記埋め込みしていることがわかります。\r\n図１１ Olympic Destroyerが感染するたびにログイン情報を埋め込んでいく実証図\r\nつまり、感染が広まっていくに従いマルウェアのバイナリに埋め込まれたログイン情報が増えていく\r\nことを意味します。この動作から、当初から一見ハードコーディングされたようにみえた複数のログ\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 8 of 10\n\nイン情報は全て感染を重ねることで窃取され蓄積されたものと推測することができます。この推測が\r\n正しいとした場合、Olympic Destroyerのバイナリに埋め込まれたログイン情報の数を確認することで、\r\nおおよそどの時点の拡散検体なのか、また、初期感染時の端末を追う手掛かりになるかもしれませ\r\nん。\r\nその他の情報\r\n昨年度はWannaCry、NotPetya、BadRabbitなど世界的に混乱を招く大きなマルウェアインシデントが発\r\n生しましたが、それらの検体を解析してきた観点でOlympic Destroyerを見てみると、BadRabbitおよび\r\nNotPetyaに類似する挙動が一部垣間みえます。\r\n例えば、以下は名前付きパイプによるプロセス間通信を用いた子プロセスとの連携に関わるコード部\r\n分の比較ですが、リソース領域から一時的に必要なEXEを%temp%に復号し、GUIDをパイプ名に利用\r\nした名前付きパイプによるプロセス間通信により必要な情報のみを取得して一時利用するといった処\r\n理の流れがほぼ同一です。その他にも、リソースセクションを用いた必要ファイルの格納および展開\r\n利用のテクニックや、PsExecを用いた横展開などいくらか気になる類似点があります。\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 9 of 10\n\n図１２ NotPetya、BadRabbit、Olympic Destroyerのコード比較\r\n当然、挙動やコードを類似させようとして意図的に作り上げることは可能なため、これらをもって何\r\nかを断言できることではありませんが、興味深い調査結果の一つであるといえるでしょう。\r\n※本記事で使用した検体のハッシュ値は以下となります。\r\nedb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9\r\n吉川 孝志 の他のブログ記事を読む\r\nSource: https://www.mbsd.jp/blog/20180215.html\r\nhttps://www.mbsd.jp/blog/20180215.html\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.mbsd.jp/blog/20180215.html"
	],
	"report_names": [
		"20180215.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434501,
	"ts_updated_at": 1775826700,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/81a19576c59d4dfc4687cd3a811485386687aaea.pdf",
		"text": "https://archive.orkl.eu/81a19576c59d4dfc4687cd3a811485386687aaea.txt",
		"img": "https://archive.orkl.eu/81a19576c59d4dfc4687cd3a811485386687aaea.jpg"
	}
}