Goziが盗み出す情報は、銀行口座やクレジットカードの番号(カードの暗証番号を含む)、社会保障番号、オンライン支払い口座番号、ユーザー名やパスワードなどだ。Goziの新版も、旧版と同様、Secure Sockets Layer(SSL)で暗号化される前のストリームから情報を盗み出し、それをロシアにあるサーバに送るようプログラムされている。
Goziの新版を発見したのは、MSSP(マネージド・セキュリティ・サービス・プロバイダー)のセキュアワークスでセキュリティ調査員を務めるドン・ジャクソン氏。氏は今年1月にもGoziの旧版を発見した。
2つの機能を追加したGozi新版
ジャクソン氏によると、Goziの新版は、目的という点では旧版とよく似ているが、2つの重要な機能が追加されている点で旧版とは異なるという。
1つは、これまで見たことのない新しい「packer」ユーティリティが使われている点だ。このユーティリティは、トロイの木馬コードを暗号化、細分化、圧縮、さらには一部を削除することで、標準的な署名ベースのアンチウイルス・ツールに検出されないようにする。これに対し、旧版のGoziは、「Upack」と呼ばれる比較的よく知られているパッケージング・ユーティリティを使っていたため、新版よりも容易に検出できた。
もう1つは、キー・ストロークのロギング機能を備えている点だ。ジャクソン氏によると、新版のGoziに感染したコンピュータのユーザーが銀行のWebサイトを訪れたり、SSLセッションを開始したりすると、この機能が動き出すという。ただし、この機能の詳細なメカニズムは明らかになっていない。
「この2つの機能を除けば、新旧のGoziに違いはない」とジャクソン氏は語る。新版のGoziも、「Internet Explorer」ブラウザのiFrameタグに存在する脆弱性(すでにパッチ配布済み)を利用して感染するようになっており、通常は特定のWebサイトやコミュニティ・フォーラム、ソーシャル・ネットワーキング・サイトなどを訪れることで感染する。
検出可能だが油断は禁物
ジャクソン氏によると、Goziが盗んだ情報の送信先となっているサーバはロシアのネットワーク上にあったという。しかし、このネットワークをたどっていくと、パナマのISP(インターネット・サービス・プロバイダー)に行き着いた。Goziに関する情報の提供を受けた同ISPは、同サーバを「no-routed」にして、実質的にインターネットから切り離したという。
Goziの新版を発見したセキュアワークスは、これを検出するための署名を作成し、アンチウイルス・ツールのプロバイダーに提供した。現在のところ、プロバイダーの上位30社のうちおよそ15社が、自社のアンチウイルス製品にこの署名を組み込んでおり、効率に多少差はあるものの、Gozi新版を検出できるようにしている。だが、油断は禁物だ。
Goziの旧版は、発見されるまでの間に、およそ5,200の一般ユーザーや企業、政府機関、法執行機関などから1万件以上の情報を盗み出したとされている。盗んだ情報の送信先となったサーバは、非常に洗練されたフロントエンドを持ち、インデックス化された形でデータを閲覧できるほか、フォーム・ベースのクエリによって情報を引き出せるようになっていた。
また、クエリによって引き出される情報には価格が付いており、WMAと呼ばれる通貨(Webマネーの単位で、1WMAがおよそ1ドルに相当)を使って取引されていたとされる。サーバは、「76Service」と呼ばれるロシア人のグループが管理しており、彼らによると、「HangUp Team」を名乗るロシアのハッカー集団からGoziのコードを購入したという。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
米国セキュアワークス
http://www.secureworks.com/