「GOM Player」のアップデートプログラムを装ってウイルスに感染させる手口が発覚
もうすでにご存知の方も多いと思いますが、セキュリティ企業のラックが
「GOM Player」のアップデートプログラムを装ってウイルスに感染させる
標的型攻撃を複数確認したことを発表しました。
これを受けGOM Playerの開発元であるGRETECHは、
GOM Playerアップデートサーバーの安全性は確認しておりますが、
今回報道されている事象が現時点でも発生していた場合の可能性を踏まえ、
ユーザーのみなさまに安全なソフトウェアを提供することを最優先と考え、
GOM Playerを含むすべてのGOM製品(GOM Encoder、GOM Audio、
GOM Tray)のアップデートサービスを一時中止させていただいて
おります。
と説明しています。
この問題の概要
ラックによると
本事案は、当社のセキュリティ監視センターJSOCにおいて、当社顧客の
ネットワーク環境よりインターネットに対して、定期的に発信される不正な
データ送信と考えられる通信を複数捕捉したことにより発覚しました。
この事案の報告を受け調査を開始したサイバー救急センターは、複数の組織
のパソコンで、定期的な通信を行うコンピューターウイルスが動作している
ことを確認しました。
調査の過程で感染経路の特定を行ったところ、正規のソフトウェアを最新版
に更新するアップデート作業によってコンピューターウイルスに感染した
ことを確認いたしました。
本事案においてウイルス感染に悪用されたソフトウェアは、
GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」です。
「GOM Player」の起動時に、製品のアップデートを促され実行した際に、
アップデートプログラムを装ったコンピューターウイルスに感染し、
外部からの遠隔操作が行われる状況になっていたことを確認しました。
感染パソコンは、遠隔操作されることで、パソコン内や内部ネットワークの
情報窃取など様々な被害を引き起こす恐れがありました。
本事案における脅威は、正規のソフトウェアのアップデートという、
ユーザーには正否の判断を行うことができない状況で感染活動が
行われることにあります。
パソコンを使用しているユーザーは、OSやその他使用している
ソフトウェアのアップデートを信頼し、ウイルス感染を警戒することは
ありません。
また、アップデート時に実施確認を求められてもその危険を判断することは
困難です。
本事案においては、このような状況に加え、先に注意喚起を行った
「水飲み場型の攻撃」でもあるように、感染対象を絞り込む手法も
取り入れられているものと推測され、攻撃者の標的以外への攻撃は
行われないようです。
つまり、当社を含むセキュリティ対策企業や、一般のユーザーが攻撃に
気づくことも難しく、さらに仕掛けられている攻撃の全容を把握することも
非常に困難です。
そのため、組織内ネットワークのセキュリティ監視を行っていない場合
には、感染初期の被害発生の認知も著しく困難であると考えられます。
本事案におけるウイルス感染の流れ
1. 「GOM Player」のアップデートを実行
「GOM Player」は、起動時に、app.gomlab.comという「正規サイト」
からアップデート設定ファイルを取得します。
2. アップデートプログラムを取得
アップデート設定ファイルには、アップデートプログラムの所在が
記載されており、「GOM Player」は、この所在からアップデート
プログラムを入手します。
しかしながら本事案においては、アップデート設定ファイルの入手の際、
「正規サイト」ではなく、全く別の「踏台サイト」に転送接続するよう
仕掛けられていました。
この「踏台サイト」への転送接続は、
1) たとえばDNSキャッシュポイズニングのような通信経路内での改ざん、
もしくは
2) 接続がリダイレクトされるように「正規サイト」が改ざんされた、
等が考えられます。
なお、この「踏台サイト」は日本国内で稼働しているWebサイトであり、
攻撃者により不正に侵入を受け悪用されたと考えられます。
3. アップデートプログラムに偽装したコンピューターウイルスの感染
「GOM Player」により、アップデートを促す表示がなされます。
アップデートを実行すると、そのまま「踏台サイト」から
コンピューターウイルスがダウンロードされ感染します。
4. コンピューターウイルスが外部のサーバーと通信する
コンピューターウイルスに感染したパソコンは、「遠隔操作サイト」
に接続して、攻撃者からの命令を受け取り遠隔操作されます。
影響を受けているか否かの確認方法
本事案は、正規のソフトウェアのアップデート機能を悪用した攻撃手法の
ため、攻撃を事前に回避することは大変困難です。
しかしながら、今回のウイルスに感染したか否かを以下の方法で確認
できます。
1. ネットワーク管理者向け確認方法
ファイアウォールもしくはプロキシサーバーなどの通信ログに、
コンピューターウイルスが「遠隔操作サイト」と通信した痕跡がないかを
確認します。
当社が把握している遠隔操作サイトは以下です。
testqweasd.tk
211.43.220.89
114.202.2.4
※IPアドレスは変化している可能性があります。
2. パソコンでの確認方法
GOM Playerの設定ファイルに記載されているURLを確認します。
確認内容:インストールフォルダにある「GrLauncher.ini」を
メモ帳などで開き、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini
以外になっていないか確認する。
(当社確認内容。
これ以外にも正規の内容が存在している可能性があります。)
確認内容:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」
をメモ帳などで開き、 DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE
以外になっていないか確認する。
※例えば、Windows XPの場合:
%Appdata%\GRETECH\GomPlayer
Windows7の場合:
%AppData%Roaming\GRETECH\GomPlayer
上の内容以外の情報が発見された場合には、被害拡大防止のため
関係機関もしくは当社までご連絡ください。
ということで、「GOM Player」をアップデートする場合は、GOM Player
公式サイトからセットアップファイルをダウンロードして
アップデートしてください。
正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック
一部報道に対する弊社の見解について(1月24日更新)
GOM Player--オールフリーソフト
ツイート@allfreesoftをフォロー
スポンサーリンク
【関連する記事】
- 日本語に対応したESET Online Scanner 3.4.7.0
- Password Checkupが2020年8月31日でサービス終了
- 3つの音声が追加されたIMAIME 1.30
- .Net Framework4.8と.NET Coreに対応したASoft .N..
- Capture .NETのフリー版が終了
- CursorFXが有料になりました。
- はがきデザインキットが2020年1月31日でサービスを終了
- RansomBusterがTrend Micro Maximum Securit..
- Acronis Ransomware Protection(無償)のサポートが終..
- オプションが追加されたReduce Memory 1.3