「GOM Player」のアップデート機能を利用して感染するマルウェアが確認される 72
ストーリー by hylom
ユーザー側での対処は難しい 部門より
ユーザー側での対処は難しい 部門より
GRETECH Corp.が提供する無料の動画再生ソフトウェア「GOM Player」経由でマルウェアに感染する事案が確認されているという(ラックによる注意喚起記事)。
GOM Playerには新バージョンがリリースされた際に通知するとともに自動でアップデータファイルをダウンロードして実行しアップデートを行う機構がある。このとき、アップデータはHTTPSでダウンロードされるのだが、なんらかの方法で正規のアップデータ配布サイトではないサイトに接続させ、マルウェアを含む実行ファイルをダウンロードさせて実行させる、という仕組みでマルウェアに感染させるという仕組みのようだ。
どのように不正なサイトへの誘導を行ったのかは判明していない模様。このような仕組みでのアップデートの場合、ユーザーはどこから実行ファイルをダウンロードしているのか確認するのが難しく、注意していても感染してしまう可能性が高いようだ。
これもGOM Player? (スコア:5, 興味深い)
http://nlab.itmedia.co.jp/nl/articles/1401/07/news093.html [itmedia.co.jp]
先日あった「もんじゅ」からの情報漏洩もこれかね?
韓国+動画再生プレイヤーって所から、当時も「GOM Playerじゃない?」という疑いは出てたみたいだけど。
元々怪しかった (スコア:1)
3年以上前からGOMプレイヤーにスパイウェアが紛れてるって話が噂レベルであったよね。
当時からあの会社はやりかねんから注意しようぜって話ではあった。
ついにバレたというか、バラされちゃったというか…
暫く経てば「GOMプレイヤー スパイウェア」がこの記事やラックの記事で上位に上がってくるのかな?
Re: (スコア:0)
公式スパイウェア
#わざとです
Re: (スコア:0, 興味深い)
だそうですから、まあ可能性としては一番考えられることですね。
対策としては、彼の国にはなるべく関わらないようにするのが一番じゃないでしょうか。冗談抜きで。
LINEを忌避する人がGOMを使うという理不尽 (スコア:5, 参考になる)
韓国が代表する恥知らずのソフトがGOM Playerですね。
LGPLのライセンス違反で、libavの恥の殿堂に掲載されています。
LGPLのソフトウェアを利用していることを、明記していないという点が問題なのですが
GOM encoderでは、ご存知のように、GOM Encoderを利用したことを示すロゴが
強制的に掲示されるようになっているのですから、悪質なライセンス無視と言えるでしょう。
仮に、FFMPEGやlibavなどが、有償でソースコードを公開していたとしても
無断で、支払い無く利用していたのでは無いかというほどです。
LINEを、朝鮮言語環境で開発されたライブラリーを理由に
韓国製ソフトと謗り、利用を忌避している人が大勢いますが
どちらかといえば、GOMのほうが、はるかに大きな忌避する理由を持っていると言えるでしょう。
Re:LINEを忌避する人がGOMを使うという理不尽 (スコア:1)
>LGPLのライセンス違反で、libavの恥の殿堂に掲載されています。
>LGPLのソフトウェアを利用していることを、明記していないという点が問題なのですが
数年前から、既にFFmpegを使用していることが、明記されているのですが、
それを知らない、または知ったとしても意図的に知らなかったことにする、あなたのような人を生み出すというのが、
libavの罪ですね。
libavの恥の殿堂を見ろよ (スコア:1)
知らない可能性はあるけど、今もlibav「恥の殿堂」 [libav.org]に GOM が掲載されているのは事実。過去を忘れたソフトウェアに未来はn
# VLC media player さえあればよいのでID
モデレータは基本役立たずなの気にしてないよ
Re:LINEを忌避する人がGOMを使うという理不尽 (スコア:1)
> 韓国製ソフトと謗り、利用を忌避している人が大勢いますが
> どちらかといえば、GOMのほうが、はるかに大きな忌避する理由を持っていると言えるでしょう。
いろいろ好き嫌いはあるのでしょうが、完全にスタンドアロンで動くならどこの誰が作ろうとあまり問題はないと思います。
GOMとLINEの比較は、実はバックドアが仕掛けてあってユーザが意図せず情報を盗まれるとか、踏み台にされるとかいう潜在的なリスクと、
そのアプリが本質的に常に外部のサービスに依存していることに伴うリスクを比べてどう判断するかだと思います。
LINEは、どうやらサーバが韓国にあるらしいので、それを懸念して避ける人は少なくないと思いますが。。
Re: (スコア:0)
逆にgom系は使わないけど、simejiとLINEは使うってのが今風のスマホ脳なんじゃないかなあ。
Re: (スコア:0)
>自分たちが気持ちよければいいんだから。
自己紹介?
Re: (スコア:0)
いや、Line避けるようなのはGOMも当然、使わないだろ
シェアからいってもGOMは避けてるけど、Lineは使ってるって人のが多いんじゃないかな
てかなんか必死に韓国製品擁護してるのはあっちの人なんだろうけど、なんでそんなアホ丸出しなんだ…
だから面白半分に馬鹿にされるのにw
ちゃんとコードサイニング証明書つけるべき (スコア:3, 参考になる)
GOM Playerがどうだったかは知りませんが、コードサイニング証明書をつけていれば、
アップデート実行前のコードの発行元を確認するダイアログで気づくことができたでしょう。
こういうときのための証明書です。
どこかのブラウザのように、Program Filesではなくユーザーディレクトリに実行ファイルをインストールした上で、
ユーザーの許可なくアップデートするような真似をしているところもありますが、そんなことはすべきでないということがわかる例ですね。
#なぜアレが許されているのか…。
Re:ちゃんとコードサイニング証明書つけるべき (スコア:1)
普通はアップデータにデジタル署名を行って、第三者の実行ファイルが実行されないようにするはずですが…
秘密鍵も盗まれたのでしょうか?
Re: (スコア:0)
今のChromeはProgram Filesにインストールするようになりましたね。尤も管理者権限のサービスを使って自動的にアップデートしますけど。
Re: (スコア:0)
おっとClickOnceの悪口はそこまでだ。
# Chromeに見当外れの批判がいつまでも絶えないなあ。
Re: (スコア:0)
いやしかし、Click Onceって一体何だったんだろうか?
気持ち悪いというイメージしか無いんだが
Re:ちゃんとコードサイニング証明書つけるべき (スコア:1)
社内ユースに限って言えばかなり便利ですよ。
配布の手間がかなり省けました。
あれ、GOM自体が (スコア:1)
元々そういうんじゃ
オフトピ気味で (スコア:1)
GOM着けていても安心できません :P
Re:オフトピ気味で (スコア:3, おもしろおかしい)
デジタル編集で消し去られた [srad.jp]りしますからね
Re:オフトピ気味で (スコア:1)
Re: (スコア:0)
「ゴム プレイ 感染」ですか…
ふと思ったこと。 (スコア:1)
>どのように不正なサイトへの誘導を行ったのかは判明していない模様。
ふと思いついたことなのだけど、
特定のドメインからのアップデートサーバーにアクセスがあった場合、スパイウェア入りの新バージョンを送り込むとか。
アップデートサーバーへは接続は許可されているわけで、そこに収集した情報を送り込めば良いのだから。
収集したらもう一度正規の新バージョンを送り込んで上書きすればOK。
一般人相手なら、情報を取られた事が別ルートでばれない限りはほぼ大丈夫なような・・・
もともと違法(脱法)ソフトだし (スコア:0)
覚悟してたんじゃないの、使っている人は。
Re: (スコア:0)
> もともと違法(脱法)ソフト
kwsk
Re:もともと違法(脱法)ソフトだし (スコア:1)
GOM製品のアップデートサービスを一時中止 (スコア:0)
一部報道に対する弊社の見解について 2014-01-23
http://www.gomplayer.jp/player/notice/view.html?intSeq=282 [gomplayer.jp]
Re: (スコア:0)
JPCERTって調査サービスやってるの?
Re:GOM製品のアップデートサービスを一時中止 (スコア:2, 参考になる)
https://www.jpcert.or.jp/about/ [jpcert.or.jp]
JPCERTコーディネーションセンター(JPCERT/CC)は、インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデント*1(以下、インシデント) について、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。
おまえは何を言っているんだ? (スコア:0)
「アップデートサーバーへの攻撃」なんてされてないようなw
Re: (スコア:0)
多分社内に裏切り者が居たんでしょうね。
Re:おまえは何を言っているんだ? (スコア:1)
>多分社内に裏切り者が居たんでしょうね。
個人情報バーゲンやってる国だし、社内からあれこれ利用するのはみなさんお得意でしょうね。
Re: (スコア:0)
いや、その「一部報道に対する弊社の見解について 2014-01-23」ですが、一番下にこのような文章が。
---------------------------------------------------------------------------------------------------------
アップデートサービスをご利用いただけない期間は、下記より新規インストールを行っていただきますようお願い申し上げます。
http://gom-player-ja.softonic.jp/ [softonic.jp]
Softonicのダウンロードサイトに移動します。
Re:GOM製品のアップデートサービスを一時中止 (スコア:3)
最近フリーのツールをGoogleで探すとたいていこのサイトがトップに出て来て、うっかりしてるとBaidu IMEだのhaloだのいらんものが突っ込まれるようになって大迷惑。 今年の春あたりから目立つようになった気がするけど、どうにかならんかねぇ
現在進行形で使ってるけど (スコア:0)
やたらアップデートがあってうざいからアップデート確認停止した
もう1年くらいかなぁ?
ユーザー側での対処は難しい? (スコア:0)
アップデート機能切って自分で公式サイトにアクセスしてダウンロードしてくればいいだけのことでは?
それともアップデートの通知とかオフにしてても勝手に実行しちゃうのか?
どんなソフトもインストールしてまず最初に行うのがアップデートの自動確認をオフですね
Re:ユーザー側での対処は難しい? (スコア:1)
リンク見ればわかるが
app.gomlab.comという「正規サイト」がすでに怪しいわけで
その水を飲んではいけない!! (スコア:0)
自動アップデートを無効にできないソフトもありますし。配布元のサイトを書き換えてウイルス
の入ったインストーラを配布する手口もあります。
確か水飲み場攻撃とかなんとかそんな名前。
Re: (スコア:0)
Windows Updateで自動更新をデフォルト有効にしているMSとかいう会社は正気とは思えないよね。
DNSポイズニング? (スコア:0)
偽アップデートサイトを用意するような人なら「DNSポイズニング」で積極的に誘導してもおかしくないと思うんだけどなぁ。
ここがよくわからない (スコア:0)
GOMPlayerの設定ファイルが、最初からマルウェア配布サイトを指定していた?(内部の悪意ある行為)
その場合、特定のバージョンでのみ?
それとも、別のマルウェア、ウィルスが、GOMPlayerの設定ファイルを書き換えた?
そこんとこどうなのよ、日向
Re:ここがよくわからない (スコア:4, 興味深い)
> 確認内容:インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
> http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
> (当社確認内容。これ以外にも正規の内容が存在している可能性があります。)
> 確認内容:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が
> https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。
単に間抜けだっただけじゃないですか?
Re: (スコア:0)
だから、「誰が」やったのかって事がわからんって話なのよ
Re: (スコア:0)
> それとも、別のマルウェア、ウィルスが、GOMPlayerの設定ファイルを書き換えた?
設定ファイルの一つがAppData\Roamingの下なんで、この可能性が高いという事では?
Re: (スコア:0)
動画の再生で書き換わる・・・みたいな話もありますが、どうなんでしょう?
えっ・・・わかってないんだ (スコア:3)
GOM Player のマルウェア感染事例について4ヶ月前に解析した素人です!・ω・
韓国製ソフト Bandizipにマルウェアが入ってないか調べてみた
http://blog.livedoor.jp/blackwingcat/archives/1808880.html [livedoor.jp]
GOM Playerによる感染経路がニュースになってたので補足してみた
http://blog.livedoor.jp/blackwingcat/archives/1844555.html [livedoor.jp]
参考までに
Re:GOMとかBaiduとかSimejiとかKINGSOFTとかLenovoとか・・・ (スコア:3, 興味深い)
Lenovoについては、最初から明確な問題点を示すソースが無く、その後の続報もない状態ですが。
「あれは何だったんだろう?」と語られてるものを一緒にされても。
バックドア仕込んでアメリカから締め出された (スコア:0)
ファーウェイも仲間に入れたげて!
Re: (スコア:0)
> バックドア仕込んで
あれも結局「明確な証拠は見つけられなかった」と当のアメリカの研究施設が結論付けてますが。
ただし、大人の事情で今後も政府関係では調達から外すとも言ってますがね。
結果、今後ファーウェイはアメリカ市場から撤退することになりましたが。
リスク管理の面からは、妥当というか、しょうがないことだろうというか。
混ぜるならZTEじゃね?
Re: (スコア:0)
多分DELLとHPのための援護射撃でしょうな。