Kaspersky Lab は中東のユーザーを標的とする新たなサイバー脅威「Gauss(ガウス)」を発見したことを発表します。
本リリースは、2012 年 8 月 9 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab は中東のユーザーを標的とする新たなサイバー脅威「Gauss(ガウス)」を発見したことを発表します。ガウスは、国家主導で開発された複雑なサイバースパイ型ツールキットであり、感染したマシンから、ブラウザのパスワード、オンラインバンキングのログイン情報、cookie、そして特定の設定データをはじめとした個人情報を盗むよう設計されています。
Gauss のオンラインバンキングを狙うトロイの木馬機能には、既知のサイバー兵器とは異なる独自の特徴があります。
Gauss は、Flame の発見を受け国際電気通信連合(ITU)が中心となって実施している調査活動の過程で検知されました。この活動は、サイバー兵器がもたらすリスクを軽減し、ひいては全世界のサイバー空間における平和を目指すものです。
Kaspersky Lab の支援を受けた ITU は、ITU-IMPACT を構成する主要なパートナーに加え、市民社会と積極的に協力し、グローバルサイバーセキュリティの強化に向けて重要な対策を講じています。
Kaspersky Lab のエキスパートは、Flame との共通点を特定することにより Gauss を検知しました。これらの共通点には、プラットフォームの構造、モジュール構成、コードベース、およびコマンド&コントロール(C&C)サーバーとの通信方法があげられます。
Gauss の基本情報:
- Gauss の活動開始時期は 2011 年 9 月であったと分析される。
- マルウェア Flame に関する詳細な調査分析から得られた知識を元に、2012 年 6 月に初めて検知された。
- Flame と Gauss の間に強い類似性と相関関係があったことから発見に至った。
- Gauss の C&C インフラは、発見後まもなくの 2012 年 7 月に閉鎖された。現在このマルウェアは休止中であり、C&C サーバーがアクティブになるのを待機している状態にある。
- 2012 年 5 月終盤以降、Kaspersky Lab のクラウドベースのセキュリティシステムにより、2,500 件以上もの感染が報告されており、Gauss による被害件数は合計で何万件にも上ると推定される。これは、Stuxnet の攻撃数より少ないものの、Flame および Duqu よりははるかに多い件数である。
- Gauss は、ブラウザ閲覧履歴、cookie、パスワード、システム構成を含む感染 PC に関する詳細情報を詐取する。また、さまざまなオンラインバンキングシステムや決済システムのログイン情報も盗むことができる。
- Bank of Beirut、EBLF、BlomBank、ByblosBank、FransaBank、Credit Libanais などのレバノン系銀行からデータを盗むよう設計されている。また、Citibank および PayPal の利用者も標的とされている。
この新種のマルウェアは Kaspersky Lab のエキスパートにより 2012 年 6 月に発見されました。このマルウェアの作者は、メインモジュールにドイツ人の数学者であるヨハン・カール・フリードリヒ・ガウスの名を付けました。他のモジュールコンポーネントにも、ジョゼフ=ルイ・ラグランジュやクルト・ゲーデルといった有名な数学者の名前が見られます。調査により、Gauss が絡んだ最初のインシデントは 2011 年 9 月に発生したことが明らかになっています。Gauss の C&C サーバーは、2012 年 7 月に活動を停止しています。
Gauss の複数のモジュールは、Web サイトの閲覧履歴やパスワードなどの情報をブラウザから収集する役割を担っています。ネットワークインターフェイスおよびコンピューターのドライブや BIOS の情報といった感染マシンに関する詳細情報も攻撃者に送信されます。Gauss のモジュールは、Bank of Beirut、EBLF、BlomBank、ByblosBank、FransaBank、Credit Libanais などのレバノン系銀行からもデータを詐取します。さらに、Citibank および PayPal の利用者も標的とされています。
Gauss のもう 1 つの重要な機能は、かつて Stuxnet や Flame で行われたように、LNK の脆弱性を利用して USB メモリを感染させることです。ただし、その感染プロセスはこれまでのマルウェアより進化しています。特定の状況下において、Gauss はドライブの「ウイルス駆除」を行ったり、収集した情報をリムーバルメディア内の隠しファイルに保存したりすることができます。また、このトロイの木馬プログラムは、「Palida Narrow」と呼ばれるフォントをインストールしますが、この目的はまだわかっていません。
Gauss は設計面において Flame と似ていますが、地理的な感染範囲については明らかに異なっています。Flame の主な攻撃対象はイランのコンピューターでしたが、Gauss の攻撃の大半はレバノンで行われています。また、感染件数も異なります。Kaspersky Security Network(KSN)によるレポートによると、Gauss は約 2,500 台のPCを感染させたことが分かっています。一方、Flame による感染PC台数はかなり少なく、約 700 台とされています。
Gauss のコンピューター感染メカニズムはまだ完全には解明されていませんが、Flame や Duqu とは異なる拡散方法がとられていることは明らかになっています。これら 2 つのサイバースパイ兵器と同様に、Gauss の拡散は、隠密性に重きを置き、制御された方法で行われています。
Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev)は次のようにコメントしています。「Gauss と Flame とは設計やコードベースに顕著な共通点があり、そのことがこのマルウェアの発見につながりました。Flame や Duqu と同様に、Gauss は高度なサイバースパイ型ツールキットであり、隠密性を重視して設計されています。しかし、その目的は異なります。Gauss は特定の国々の複数のユーザーを標的として大量のデータを詐取し、特に銀行や金融関係の情報を狙っています。」
現在、トロイの木馬Gauss は、カスペルスキー製品により、Trojan-Spy.Win32.Gauss として検知、ブロックされ、データの復旧が行われます。
Kaspersky Lab のエキスパートによる、このマルウェアの詳細な分析結果は「Securelist.com」の次のページからご覧いただけます。
http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
Gauss の基本的な情報を含む FAQ にも次のページからアクセスできます。
http://www.securelist.com/en/blog?weblogid=208193767
Facebookページでも新しい情報を随時お伝えします。
https://www.facebook.com/Kaspersky?ref=ts
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。同社はエンドポイント向けセキュリティソリューションにおいて全世界でトップ4*にランクインしています。Kaspersky Labは15年間にわたり、ITセキュリティ市場でイノベーターとして、効果的なデジタルセキュリティソリューションを個人および法人向けに提供しています。同社は現在、およそ200の国と地域で営業活動を行っており、全世界で3億人を超えるユーザーの保護を行っています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。
*Kaspersky Labは、IDCのWorldwide Endpoint Security Revenue by Vendor, 2010(エンドポイントセキュリティ世界市場ベンダー別 – 2010年)で4位にランクされました。このランキングは、2011年12月に出版されたIDCレポート“Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares”(世界におけるITセキュリティ製品市場:2011年~2015年の予測と2010年のベンダーシェア)に掲載されました。このレポートは、2010年のエンドポイントセキュリティソリューションの販売による収益からソフトウェアベンダーを評価する(ランキングする)ものです。
