八神春彦|事柄広め

品物、ゲームなどについて書きます。知りたい事を詳しく。

【注意】韓国製動画再生ソフトのGOM PLAYER経由でウイルス感染の恐れあり 自動アップデートするだけで感染

f:id:haruhiko236:20140124000004p:plain

ウイルスセキュリティZERO Windows 8対応版

ウイルスセキュリティZERO Windows 8対応版

  • 出版社/メーカー: ソースネクスト
  • 発売日: 2012/06/22
  • メディア: CD-ROM
  • 購入: 9人 クリック: 47回

【注意】動画ソフト「GOM Player」経由でウイルス感染のおそれ アップデート機能使った新手口 事前の回避「大変困難」 ※追記

f:id:haruhiko236:20140123233321j:plain

 動画再生ソフト「GOM Player」のアップデート機能を利用した、新たなコンピュータウイルス感染の手口が確認され、セキュリティ企業のラックが公式サイトで注意を促しています。

 今回のケースでは「GOM Player」の自動アップデート時に何らかの方法で、正規のアップデートサーバではなく「攻撃者側が用意した不正サイト」へと誘導されてしまい、そこか ら不正ファイルを実行されてしまう場合があったとのこと。正規のソフトウェアアップデート中に感染が起こるため、ユーザー側で攻撃を防ぐのは非常に難し く、また攻撃を受けたかどうかも気付きにくいため、GOM Player利用者には「安全が確認されるまでアップデートを行わない」ことを推奨しています。

 

省く

 

【注意】動画ソフト「GOM Player」経由でウイルス感染のおそれ アップデート機能使った新手口 事前の回避「大変困難」 ※追記 - ねとらぼ

 

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について

f:id:haruhiko236:20140123234859j:plain

本事案の概要

本事案は、当社のセキュリティ監視センターJSOCにおいて、当社顧客のネットワーク環境よりインターネットに対して、定期的に発信される不正なデータ送信と考えられる通信を複数捕捉したことにより発覚しました。
この事案の報告を受け調査を開始したサイバー救急センターは、複数の組織のパソコンで、定期的な通信を行うコンピューターウイルスが動作していることを確 認しました。調査の過程で感染経路の特定を行ったところ、正規のソフトウェアを最新版に更新するアップデート作業によってコンピューターウイルスに感染し たことを確認いたしました。

本事案においてウイルス感染に悪用されたソフトウェアは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」です。「GOM Player」の起動時に、製品のアップデートを促され実行した際に、アップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操 作が行われる状況になっていたことを確認しました。感染パソコンは、遠隔操作されることで、パソコン内や内部ネットワークの情報窃取など様々な被害を引き 起こす恐れがありました。

本事案における脅威は、正規のソフトウェアのアップデートという、ユーザーには正否の判断を行うことができない状況で感染活動が行われることにあります。 パソコンを使用しているユーザーは、OSやその他使用しているソフトウェアのアップデートを信頼し、ウイルス感染を警戒することはありません。また、アッ プデート時に実施確認を求められてもその危険を判断することは困難です。

本事案においては、このような状況に加え、先に注意喚起を行った「水飲み場型の攻撃」でもあるように、感染対象を絞り込む手法も取り入れられているものと 推測され、攻撃者の標的以外への攻撃は行われないようです。つまり、当社を含むセキュリティ対策企業や、一般のユーザーが攻撃に気づくことも難しく、さら に仕掛けられている攻撃の全容を把握することも非常に困難です。そのため、組織内ネットワークのセキュリティ監視を行っていない場合には、感染初期の被害 発生の認知も著しく困難であると考えられます。

本事案におけるウィルク感染の流れ

本事案の調査において確認された、GRETECH Corp.が提供する「GOM Player」を悪用した攻撃は、以下の方法で行われていると推測しています。

正常なアップデートの流れ

f:id:haruhiko236:20140123233534j:plain

攻撃を受けた場合のアップデートの流れ

f:id:haruhiko236:20140123233606j:plain

1. 「GOM Player」のアップデートを実行

GOM Player」は、起動時に、app.gomlab.comという「正規サイト」からアップデート設定ファイルを取得します。

2. アップデートプログラムを取得

アップデート設定ファイルには、アップデートプログラムの所在が記載されており、「GOM Player」は、この所在からアップデートプログラムを入手します。しかしながら本事案においては、アップデート設定ファイルの入手の際、「正規サイ ト」ではなく、全く別の「踏台サイト」に転送接続するよう仕掛けられていました。この「踏台サイト」への転送接続は、 1) たとえばDNSキャッシュポイズニングのような通信経路内での改ざん、もしくは 2) 接続がリダイレクトされるように「正規サイト」が改ざんされた、等が考えられます。
なお、この「踏台サイト」は日本国内で稼働しているWebサイトであり、攻撃者により不正に侵入を受け悪用されたと考えられます。

3. アップデートプログラムに偽装したコンピューターウイルスの感染

GOM Player」により、アップデートを促す表示がなされます。アップデートを実行すると、そのまま「踏台サイト」からコンピューターウイルスがダウンロードされ感染します。

4. コンピューターウイルスが外部のサーバーと通信する

コンピューターウイルスに感染したパソコンは、「遠隔操作サイト」に接続して、攻撃者からの命令を受け取り遠隔操作されます。

 

省く

 

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック

 

ひとこと

お使いの方は直ちに消すなどしてウィルス感染を防ぐべきでありましょう。またほかのソフトでも同じことが起き得ますのでウィルス対策ソフトなどを予め採り入れておきましょう。

 

ノートン セキュリティ 優待版(最新版 日本語・正規)

ノートン セキュリティ 優待版(最新版 日本語・正規)

トレンドマイクロ ウイルスバスター クラウド 3年版 ダウンロード版 Windows版 (最新・3台版)

トレンドマイクロ ウイルスバスター クラウド 3年版 ダウンロード版 Windows版 (最新・3台版)

  • 出版社/メーカー: トレンドマイクロ
  • 発売日: 2012/08/30
  • メディア: Software Download
  • クリック: 10回