「GOM Player」アップデート一時中止 ウイルス感染の可能性受け

[ITmedia]

　グレテックジャパンは1月24日、動画再生ソフト「GOM Player」をはじめとしたGOM製品のアップデートサービスを一時中止した。GOM Playerのアップデートでウイルス感染が引き起こされるとする外部からの指摘などを受けた措置。

ラックによる感染の説明図

　セキュリティ企業のラックが23日、GOM Player起動時に製品のアップデートを実行した際、アップデートプログラムを装ったウイルスに感染し、外部からの遠隔操作が行われる状況になっていたと指摘。感染したPCから内部ネットワークの情報窃取などの被害を引き起こされる恐れがあるという。

　GOM Playerは起動時に、正規サイトからアップデート設定ファイルを取得するが、今回の攻撃では、正規サイトではなく攻撃者が用意した踏み台サイトに転送され、踏み台サイトからウイルスがダウンロードされ感染する仕組みになっていたという。

　踏み台サイトに転送された仕組みは特定されていないが、DNSキャッシュポイズニングのような通信経路内での改ざんか、接続がリダイレクトされるよう正規サイトが改ざんされたといったことが考えられるという。踏み台サイトは国内で稼働しているサイトで、攻撃者から不正侵入を受けて悪用されたとラックはみている。

　ラックは、「正規のソフトウェアのアップデートという、ユーザーには正否の判断を行うことができない状況で感染活動が行われる」と指摘。攻撃者の標的のみが感染するよう対象を絞り込んでおり、セキュリティ対策企業や一般のユーザーが攻撃に気づいたり、攻撃の全容も把握することが困難だという。感染の有無の確認法などはWebサイトで説明している。

　グレテックジャパンは24日までにアップデートサーバの安全性を確認済みだが、問題が現時点でも発生している可能性を踏まえ、GOM Player、GOM Encoder、GOM Audio、GOM Trayのアップデートサービスを一時中止した。JPCERTコーディネーションセンターの協力を受け、アップデートサーバーへの攻撃について調査を進めている。