Digital Arts News Watch

2014/03/18   
サイバー攻撃    セキュリティ全般   

GOM Playerのアップデートでマルウェア感染

2014年1月23日、無料の動画再生アプリGOM Playerをアップデートするとマルウェアに感染する事件について、第一報がもたらされました。

翌日には当該ソフトウェアの配布元韓国グレテック社の日本法人グレテックジャパン社より、その時点で判明している調査結果が公表されました。それによると、2013年12月27日から2014年1月16日にかけて、ニューヨークにあるGOM Playerアップデートサーバーに対し、断続的に不正アクセスがあった、とのことです。

この不正アクセスにより、アップデートサーバーが書き換えられ、ユーザーが当該サーバーから外部のサイトに誘導されるようになっていました。日本語版のインストールプログラムを装ったマルウェアが、この外部サイトからダウンロードされ、ユーザーのパソコン上で実行される可能性がありました。

詳細はいまだ不明ですが、日本のIPアドレスレンジの場合にのみ感染し、感染すると韓国へ情報を送信するという報告もあるようです。日本が狙われた可能性があり、実際に国内の研究機関などの感染例が見つかりました。

アプリケーション一般について、セキュリティを保つためには最新にアップデートすることが推奨されていますが、この事件は、その際に留意すべき新しい教訓を示唆しています。

ブラウザー経由でユーザーが手動でフリーソフトウェアダウンロードする場合、SSLにより相手サーバーを確認したり、ハッシュによりファイルの改ざんの有無を確認することができます。一方、自動アップデート機能を使うと、ユーザー側からこうしたチェックが行えません。アップデート機能に改ざんの検出機能がある場合もありますが、正しく動作しているかユーザーから確認するのは困難です。

このように機能的に隠ぺいされて、ユーザーが注意を払いにくくなる点が悪用され、インストール時ではなく更新時に悪意のあるコードを忍び込ませる攻撃があります。こうした攻撃は「時間差攻撃」と名前が付けられるほど、メジャーになっています。

ユーザーができる防衛策としては、自動アップデート機能を用いるのではなく、手間はかかりますが、手動でダウンロードおよびインストールする、という方法があります。外部への通信の監視も重要になるでしょう。

※追記
不正誘導の発生期間(マルウェアへの感染のおそれのある期間)は、当初2013年12月27日から2014年1月16日とされていたが、調査の結果2013年11月27日から2014年1月16日であることが判明したと株式会社グレテックジャパンから2014年3月6日公表されました。
http://www.gomplayer.jp/player/notice/view.html?intSeq=300
<記事提供元:株式会社イード>