トレンドマイクロでは、「Gauss」と呼ばれる攻撃についての問い合わせを受けました。Gauss は、かつて話題になった「Flame」とも比較され、メディアの注目を大きく集めています。この Gauss は、コンピュータに関連する情報から、オンライン銀行やソーシャル・ネットワーキング・サービス(SNS)、Eメール、インスタントメッセンジャ(IM)などの個人情報の収集に及びます。また「TrendLabs(トレンドラボ)」の解析者は、本攻撃が、2010年に確認された「STUXNET(スタクスネット)」をも彷彿させ、一連の国家レベルの攻撃では最新のものであると、推測しています。
■「Flame」との共通点
「Flame」が「スパイ活動」を主な目的としたサイバー攻撃で利用される「スパイツール」であり、スクリーンショットの取得やマイクを利用した音声の記録などを含む複数の情報を収集することは、周知の事実でしょう。Gauss もまた、Flame と同様に、中東諸国を標的としていたことが確認されています。
標的とする地域のほかに、Gauss と Flame は、技術的な面でもいくつかの特筆すべき共通点を持ち合わせています。
トレンドラボの解析者は、Gauss と Flame におけるこれら共通点から、Gauss は、Flame の背後に潜む人物によって作成されたのではないかとも考えています。ただし、そうした共通点とは別に、Gauss は、「Bank of Beirut」や「BlomBank」、「ByblosBank」、「FransaBank」、「Credit Libanais」などといったレバノンの銀行から情報を収集することを焦点に設計されています。このほか、「Citibank」やオンライン決済サービス「PayPal」などの組織も標的となっていたことが確認されています。レバノンの銀行をターゲットにしている点から、特定の国家がこの攻撃に関与ている可能性を指摘できる、とする専門家の意見もあります。
トレンドマイクロの製品のユーザは、今回の事例に関連する不正プログラムを検出・削除し、また C&C サーバの IP アドレスへのアクセスをブロックすることにより、この脅威から保護されます。弊社では、今回の攻撃について引き続き解析しており、本ブログを通じて更新情報を随時お知らせします。
【更新情報】
| 2012/08/22 | 19:00 |
トレンドマイクロでは、OPR 9.321.00より、この脅威に関連するコンポーネントファイルを「TSPY_GAUSS.A」として検出します。また、この「TSPY_GAUSS.A」により作成され、情報収集する不正なプラグインを「JS_GAUSS.A」として検出します。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、「Webレピュテーション」技術によって、関連するWebサイトへのアクセスをブロックします。 |
参考記事:
by Trend Micro
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)