露Kaspersky Labの日本法人であるカスペルスキーは2012年8月17日、8月9日に発見され、既存のFlameとの設計の類似性から米国とイスラエルによる国家主導で開発された疑いがあるとされているマルウエア「Gauss」(ガウス)について、暗号化ペイロード(データ)を解読する協力者の募集を始めたと発表した(関連記事:高度なマルウエア「Flame」は米国とイスラエルの共同開発、米紙が報道 )。
Gaussは、感染したマシンからWebブラウザのパスワードやオンラインバンキングのログイン情報、システム設定データなど様々な情報を詐取する機能を備えた高度なマルウエア。カスペルスキーでは「サイバースパイ型ツールキット」と分類している。同社によれば、2012年5月以降、Gaussは中東を中心に2500件以上もの感染が報告されている。
「Gaussの主な機能や特徴、通信方法などについての解明はほぼできているものの、いくつかの謎や解決されない疑問がまだ残っている」(同社)。復号用キーを見つけて暗号化ペイロード内に隠されている攻撃ターゲットや機能などを突き止めるために、暗号化技術やリバースエンジニアリング、数学などに精通したユーザーの参加を期待しているという。
暗号化ペイロードは、Gaussが備える「USBメモリー経由のデータ詐取機能」に関係するモジュール内にあり、特定のプログラムがインストールされているシステムのみを正確に狙うように設計されている。
「正確に狙う」というのは、ターゲットとなるマシンの特定のシステム設定を基に復号用キーが生成され、条件を満たしたときのみ正しく復号できて隠されている機能が発動することを意味している。条件としては、例えば「Program Files内フォルダの最初の文字がアラビア文字またはヘブライ文字などの拡張文字セットで書かれている」といった形で指定されている可能性があるという。
