2014年1月27日月曜日

「GOM Player」が攻撃者に狙われウィルス拡散装置に。 「GOM Player」ユーザーは要注意


数日前のニュースですが、動画再生ソフト「GOM Player」のアップデート時にPCがウィルス感染してしまう事案が発生してたようです。


GOM Playerのアップデート機能を悪用してウイルス感染させる標的型攻撃が発生 -INTERNET Watch
動画再生ソフト「GOM Player」のアップデートの仕組みを悪用してウイルスに感染させる複数の事案を確認
正規ソフトウェアのアップデート作業によりウイルスに感染したことを確認
ウイルスに感染。感染PCは遠隔操作されることで、PC内や内部ネットワークのデータ窃取などさまざまな被害を引き起こす恐れ


【注意】動画ソフト「GOM Player」経由でウイルス感染のおそれ アップデート機能使った新手口 事前の回避「大変困難」 ※追記 - ねとらぼ
今回のケースでは「GOM Player」の自動アップデート時に何らかの方法で、正規のアップデートサーバではなく「攻撃者側が用意した不正サイト」へと誘導されてしまい、そこから不正ファイルを実行されてしまう場合があった
正規のソフトウェアアップデート中に感染が起こるため、ユーザー側で攻撃を防ぐのは非常に難しく、また攻撃を受けたかどうかも気付きにくい
完全に安全が確認されるまではGOM Playerを含むすべてのGOM製品(GOM Encoder、GOM Audio、GOM Tray)のアップデートサービスを一時停止するとのこと


私はこのソフトを長年メインで使ってます。 感染していないか不安なので確認してみました。


正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック
2. パソコンでの確認方法

GOM Playerの設定ファイルに記載されているURLを確認します。

確認内容:インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
(当社確認内容。これ以外にも正規の内容が存在している可能性があります。)
確認内容:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。
※例えば、Windows XPの場合:
%Appdata%\GRETECH\GomPlayer
Windows7の場合:
%AppData%Roaming\GRETECH\GomPlayer

上記の方法で調べた結果、とりあえず感染はしてないようです。 でもひきつづき様子見は必要かも。


解説を読んでも専門の知識がない私にはこの手口があまり理解できません。 が、「GOM Playerは悪意のあるソフトウェアだった」というわけではなく、攻撃者に狙われた被害者だという事は理解できました。 GOM Player、君は悪くない・・・(と思う)けど、不安なので一時的に「VLC media player」をメインプレーヤーにします。


ただし、今回のこの件は「GOM Player」以外のソフトにも応用されるおそれがあるとのこと。 う~ん・・・防ぎようがないところが嫌ですし、怖いですね。


2015年11月17日追記:GRETECH JAPAN 「GOM Player」を含むソフトウェア事業を終了 ~親会社GRETECH Corporationに事業譲渡

リンク さくら
「GOM Player」アップデート一時中止 ウイルス感染の可能性受け - ITmedia ニュース
もんじゅウイルス混入の原因か? ラックが韓国製動画再生ソフトのアップデートでウイルス確認:ITpro
ニュース - [続報]もんじゅPCは韓国と33回不正通信、動画再生フリーソフト更新が契機か:ITpro


関連記事 さくら これまた
Windows、Mac、Android で利用できるセキュリティソフト「ESET ファミリーセキュリティ」を購入
セキュリティソフト「Kaspersky(カスペルスキー)」を更新しました ~PC、Mac、Android対応のセキュリティソフト~
セキュリティ対策を2つほど