14/01/23 17:22:14.03 7vYzLS9O0 BE:1558640063-BRZ(10000)
sssp://img.2ch.net/ico/gikog_ichigo.gif
GOM Playerアップデートで不正なプログラム実行の恐れ - ラックが注意喚起
[2014/01/23]
ラックは1月23日、正規なソフトウェアのアップデートを装ってコンピューターウイルスに感染させる複数の事案を確認したとして、注意喚起を行った。
同社によると、顧客のネットワーク環境からネットに定期的に発信される不正なデータ送信の通信を確認したという。これにより、ラックは原因究明を行ったところ、定期的な通信を行うコンピューターウイルスを確認した。
その後、調査の過程で、感染経路の特定を行った結果、今回の事象「正規なソフトウェアのアップデートを装ったウイルス感染」が明らかになったという。
今回、ウイルス感染に悪用されたソフトは、GRETECHが提供する動画再生ソフトウェア「GOM Player」。通常はGOM Playerの起動時に、「app.gomlab.com」という正規サイトからアップデート設定ファイルを取得する。
しかし、このケースでは正規サイトではない「踏み台サイト」にアップデート設定ファイルを取得するように仕掛けられていた。
ラックによると、「DNSキャッシュポイズニングのような通信経路内での改ざん」か「接続がリダイレクトされるように正規サイトが改ざんされた」ケースが考えられるという。
URLリンク(news.mynavi.jp)
こちらが通常のアップデートの流れ
URLリンク(news.mynavi.jp)
しかし、偽の設定ファイルをダウンロードしてしまうことで、遠隔操作ウイルスに感染してしまう
これによって、踏み台サイトから、コンピューターウイルスがダウンロードされ、PCが感染。感染したPCは、遠隔操作が可能な状態になって「PC内やネットワークの情報を盗み取られる可能性があった」(ラック)としている。
このケースでは、正規のソフトウェアアップデート機能を悪用した攻撃手法のため、攻撃を事前に回避することは難しいという。ただ、ウイルスに感染したか否かについては、プロキシサーバーと通信した痕跡を確認することで判別できるという。
(続く)