GOM Playerアップデートでウイルス感染（遠隔操作）の恐れ！

GOM Playerとは？

無料の動画閲覧ソフトで、多くのコーデックに対応しているのが特徴です。Flash動画のＦＬＶにも対応しています。（Windows Media PlayerはＦＬＶに対応していない。）
また、動画閲覧ソフトとしては非常に軽く、動作スピードが速い事も特徴の一つです。

株式会社ラック発表の概要

本事案は、当社のセキュリティ監視センターJSOCにおいて、当社顧客のネットワーク環境よりインターネットに対して、定期的に発信される不正なデータ送信と考えられる通信を複数捕捉したことにより発覚しました。

この事案の報告を受け調査を開始したサイバー救急センターは、複数の組織のパソコンで、定期的な通信を行うコンピューターウイルスが動作していることを確認しました。調査の過程で感染経路の特定を行ったところ、正規のソフトウェアを最新版に更新するアップデート作業によってコンピューターウイルスに感染したことを確認いたしました。

本事案においてウイルス感染に悪用されたソフトウェアは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」です。「GOM Player」の起動時に、製品のアップデートを促され実行した際に、アップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操作が行われる状況になっていたことを確認しました。感染パソコンは、遠隔操作されることで、パソコン内や内部ネットワークの情報窃取など様々な被害を引き起こす恐れがありました。

本事案における脅威は、正規のソフトウェアのアップデートという、ユーザーには正否の判断を行うことができない状況で感染活動が行われることにあります。パソコンを使用しているユーザーは、OSやその他使用しているソフトウェアのアップデートを信頼し、ウイルス感染を警戒することはありません。また、アップデート時に実施確認を求められてもその危険を判断することは困難です。

本事案においては、このような状況に加え、先に注意喚起を行った「水飲み場型の攻撃」でもあるように、感染対象を絞り込む手法も取り入れられているものと推測され、攻撃者の標的以外への攻撃は行われないようです。つまり、当社を含むセキュリティ対策企業や、一般のユーザーが攻撃に気づくことも難しく、さらに仕掛けられている攻撃の全容を把握することも非常に困難です。そのため、組織内ネットワークのセキュリティ監視を行っていない場合には、感染初期の被害発生の認知も著しく困難であると考えられます。

ウイルス感染の流れ

感染の確認方法

GOM Playerの設定ファイルに記載されているURLを確認します。

確認内容：インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。

確認内容：ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が
https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。
※例えば、Windows XPの場合：
　　　　　　%Appdata%\GRETECH\GomPlayer
Windows7の場合：
　　　　　　%AppData%Roaming\GRETECH\GomPlayer

感染が確認された場合の対処方法

感染の可能性が認められた場合には、以下の方法で対処を行ってください。

1. 企業の場合には、被害範囲とその内容の把握と被害拡大防止や復旧と再発防止などの事故対応を行うことをお勧めします。事故対応は、フォレンジックサービス企業やウイルス対策メーカーなどへ相談することも出来ます。また、今回対象となっているGOM Playerだけではなく、社内で使用しているソフトウェアのアップデート手順や管理方法に関して精査を行うこともあわせて推奨します。
2. 個人の場合には、ご使用のウイルス対策ソフトで駆除してください。