図●「GOM Player」を悪用したウイルス感染の流れ(ラックの発表情報から引用)
図●「GOM Player」を悪用したウイルス感染の流れ(ラックの発表情報から引用)
[画像のクリックで拡大表示]

 グレテックジャパンは2014年1月24日、動画再生ソフト「GOM Player」を悪用したウイルス(マルウエア)感染の原因は、GOM Playerのアップデートサーバーへの不正アクセスであることを明らかにした。GOM Playerがアップデートサーバーにアクセスすると、攻撃者が用意した踏み台サイトに転送され、アップデートプログラムに見せかけたウイルスがダウンロードされたという。

 セキュリティベンダーのラックは1月23日、GOM Playerのアップデートを実行すると、ウイルスに感染する恐れがあったことを報告。複数の国内企業において、感染が確認されたと発表した(関連記事:もんじゅウイルス混入の原因か? ラックが韓国製動画再生ソフトのアップデートでウイルス確認)。

 ラックによると、GOM Playerが正規のアップデートサイト(app.gomlab.com)にアクセスすると、何らかの方法で攻撃者の踏み台サイトに誘導され、アップデートプログラムを装ったウイルスがダウンロードされる状況だったという()。

 ラックでは、踏み台サイトへの転送方法としては、「DNSキャッシュポイズニングのような通信経路内での改ざん」や「接続先をリダイレクトするような正規サイトの改ざん」などが考えられるとしていた。今回、グレテックジャパンは、正規サイトへの不正アクセスが原因で、踏み台サイトに転送されていたことを明らかにした。

 グレテックジャパンによれば、2013年12月27日から2014年1月16日にかけて、米国に設置した正規のアップデートサーバーに対して、断続的に不正アクセスがあったことを確認したという。この期間に、GOM Playerをアップデートしようとすると、GOM Player日本語版のインストールプログラム(GOMPLAYERJPSETUP.EXE)に見せかけたウイルスが踏み台サイトからダウンロードされて、感染する恐れがあった。

 このため同社では、同期間中にGOM Player日本語版のアップデートした可能性があるユーザーに対して、最新の状態にアップデートしたセキュリティソフトを使って、ウイルスチェックを行うよう勧めている。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら