ニュース

GOM Playerのアップデート機能を悪用してウイルス感染させる標的型攻撃が発生

 株式会社ラックは23日、標的型攻撃に関する調査を行う過程で、動画再生ソフト「GOM Player」のアップデートの仕組みを悪用してウイルスに感染させる複数の事案を確認したとして、注意を喚起した。

 この事案は、ラックのセキュリティ監視センター「JSOC」において、ラックの顧客のネットワーク環境から定期的に発信される不正なデータ送信と考えられる通信を複数捕捉したことにより発覚。ラックの緊急対応チームが感染経路の特定を行ったところ、正規ソフトウェアのアップデート作業によりウイルスに感染したことを確認した。

 悪用されたのは動画再生ソフトの「GOM Player」で、GOM Playerの起動時に製品のアップデートを促され、実行した際に、アップデートプログラムを装ったウイルスに感染。感染PCは遠隔操作されることで、PC内や内部ネットワークのデータ窃取などさまざまな被害を引き起こす恐れがあった。

 この事案では、アップデートファイルを入手する際に、何らかの方法で正規サイトとは別の「踏み台サイト」に転送されるように仕掛けられており、DNSキャッシュポイズニングのような通信経路の改ざんや、接続がリダイレクトされるように正規サイトが改ざんされていたことなどが考えられるとしている。

 また、踏み台サイトは日本国内で稼働しているウェブサイトであり、攻撃者により不正に侵入を受け、悪用されたと考えられるという。

正常なアップデートの流れ
今回の事案におけるウイルス感染の流れ

 ラックでは、この事案では正規ソフトのアップデートという、ユーザーには正否の判断を行うことができない状況で感染活動が行われており、危険を判断することは困難だと説明。この攻撃は標的以外への攻撃は行われない標的型攻撃であると推測され、セキュリティ企業や一般のユーザーが攻撃に気付くことも難しく、仕掛けられている攻撃の全容を把握することも非常に困難で、組織内ネットワークのセキュリティ監視を行っていない場合には、感染初期の被害発生の認知も著しく困難だとしている。

 今回のウイルスに感染したかをネットワーク管理者が確認する方法としては、ファイアウォールやプロキシサーバーなどの通信ログに、現在把握されている遠隔操作サイト(testqweasd.tk、211.43.220.89、114.202.2.4)と通信した痕跡がないかを調べることを挙げている。

 また、PC側で確認する方法としては、GOM Playerのインストールフォルダーやローカルフォルダーにある設定ファイルに記載されているURLを確認する方法を紹介している。

 GOM Playerの利用者に対しては、安全が確認されるまでアップデートを行わない運用を勧めるとしている。

 この問題について、GOM Playerの開発元であるGRETECHでは見解を発表。GRETECHでは、JPCERT/CCの協力を得てアップデートサーバーへの攻撃について調査を進め、対策を行っているという。また、現時点でGOM Playerアップデートサーバーの安全性は確認しているが、今回の事象が現時点でも発生していた場合の可能性を踏まえ、GOM Playerを含むすべてのGOM製品のアップデートサービスを一時中止しているため、アップデートサービスが利用できない間は、新規インストールを利用してほしいとしている。

 ラックでは、ソフトウェア提供企業への提言として、信頼できるソフトウェア配布機能の実装を行うとともに、ユーザーが本来の正しいソフトが動作していることを把握できる機能を盛り込むなどの工夫をすることが、信頼維持のために重要だとしている。

(三柳 英樹)