パスワードを忘れた? アカウント作成
10578107 story
セキュリティ

「GOM Player」のアップデート機能を利用して感染するマルウェアが確認される 72

ストーリー by hylom
ユーザー側での対処は難しい 部門より

GRETECH Corp.が提供する無料の動画再生ソフトウェア「GOM Player」経由でマルウェアに感染する事案が確認されているという(ラックによる注意喚起記事)。

GOM Playerには新バージョンがリリースされた際に通知するとともに自動でアップデータファイルをダウンロードして実行しアップデートを行う機構がある。このとき、アップデータはHTTPSでダウンロードされるのだが、なんらかの方法で正規のアップデータ配布サイトではないサイトに接続させ、マルウェアを含む実行ファイルをダウンロードさせて実行させる、という仕組みでマルウェアに感染させるという仕組みのようだ。

どのように不正なサイトへの誘導を行ったのかは判明していない模様。このような仕組みでのアップデートの場合、ユーザーはどこから実行ファイルをダウンロードしているのか確認するのが難しく、注意していても感染してしまう可能性が高いようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Fortune (6210) on 2014年01月23日 19時48分 (#2532379) 日記

    http://nlab.itmedia.co.jp/nl/articles/1401/07/news093.html [itmedia.co.jp]

    先日あった「もんじゅ」からの情報漏洩もこれかね?
    韓国+動画再生プレイヤーって所から、当時も「GOM Playerじゃない?」という疑いは出てたみたいだけど。

    • by Anonymous Coward on 2014年01月23日 20時32分 (#2532410)

      3年以上前からGOMプレイヤーにスパイウェアが紛れてるって話が噂レベルであったよね。
      当時からあの会社はやりかねんから注意しようぜって話ではあった。

      ついにバレたというか、バラされちゃったというか…

      暫く経てば「GOMプレイヤー スパイウェア」がこの記事やラックの記事で上位に上がってくるのかな?

      親コメント
      • by Anonymous Coward

        公式スパイウェア

        #わざとです

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      ウイルスの感染タイミングについては、「PC内にインストールされていた動画再生ソフトを更新したタイミング以降」とのこと。

      だそうですから、まあ可能性としては一番考えられることですね。
      対策としては、彼の国にはなるべく関わらないようにするのが一番じゃないでしょうか。冗談抜きで。

  • by Anonymous Coward on 2014年01月23日 22時53分 (#2532489)

    韓国が代表する恥知らずのソフトがGOM Playerですね。

    LGPLのライセンス違反で、libavの恥の殿堂に掲載されています。
    LGPLのソフトウェアを利用していることを、明記していないという点が問題なのですが
    GOM encoderでは、ご存知のように、GOM Encoderを利用したことを示すロゴが
    強制的に掲示されるようになっているのですから、悪質なライセンス無視と言えるでしょう。

    仮に、FFMPEGやlibavなどが、有償でソースコードを公開していたとしても
    無断で、支払い無く利用していたのでは無いかというほどです。

    LINEを、朝鮮言語環境で開発されたライブラリーを理由に
    韓国製ソフトと謗り、利用を忌避している人が大勢いますが
    どちらかといえば、GOMのほうが、はるかに大きな忌避する理由を持っていると言えるでしょう。

    • by Anonymous Coward on 2014年01月24日 8時14分 (#2532628)

      >LGPLのライセンス違反で、libavの恥の殿堂に掲載されています。
      >LGPLのソフトウェアを利用していることを、明記していないという点が問題なのですが

      数年前から、既にFFmpegを使用していることが、明記されているのですが、
      それを知らない、または知ったとしても意図的に知らなかったことにする、あなたのような人を生み出すというのが、
      libavの罪ですね。

      親コメント
    • > 韓国製ソフトと謗り、利用を忌避している人が大勢いますが
      > どちらかといえば、GOMのほうが、はるかに大きな忌避する理由を持っていると言えるでしょう。
      いろいろ好き嫌いはあるのでしょうが、完全にスタンドアロンで動くならどこの誰が作ろうとあまり問題はないと思います。
      GOMとLINEの比較は、実はバックドアが仕掛けてあってユーザが意図せず情報を盗まれるとか、踏み台にされるとかいう潜在的なリスクと、
      そのアプリが本質的に常に外部のサービスに依存していることに伴うリスクを比べてどう判断するかだと思います。
      LINEは、どうやらサーバが韓国にあるらしいので、それを懸念して避ける人は少なくないと思いますが。。

      親コメント
  • by Anonymous Coward on 2014年01月23日 20時01分 (#2532386)

    GOM Playerがどうだったかは知りませんが、コードサイニング証明書をつけていれば、
    アップデート実行前のコードの発行元を確認するダイアログで気づくことができたでしょう。
    こういうときのための証明書です。

    どこかのブラウザのように、Program Filesではなくユーザーディレクトリに実行ファイルをインストールした上で、
    ユーザーの許可なくアップデートするような真似をしているところもありますが、そんなことはすべきでないということがわかる例ですね。
    #なぜアレが許されているのか…。

  • by Anonymous Coward on 2014年01月23日 19時54分 (#2532384)

    元々そういうんじゃ

  • by Anonymous Coward on 2014年01月23日 20時15分 (#2532394)

    GOM着けていても安心できません :P

  • by Anonymous Coward on 2014年01月24日 13時07分 (#2532811)

    >どのように不正なサイトへの誘導を行ったのかは判明していない模様。

    ふと思いついたことなのだけど、
    特定のドメインからのアップデートサーバーにアクセスがあった場合、スパイウェア入りの新バージョンを送り込むとか。
    アップデートサーバーへは接続は許可されているわけで、そこに収集した情報を送り込めば良いのだから。
    収集したらもう一度正規の新バージョンを送り込んで上書きすればOK。
    一般人相手なら、情報を取られた事が別ルートでばれない限りはほぼ大丈夫なような・・・

  • by Anonymous Coward on 2014年01月23日 19時30分 (#2532373)

    覚悟してたんじゃないの、使っている人は。

  • by Anonymous Coward on 2014年01月23日 19時39分 (#2532376)

    一部報道に対する弊社の見解について 2014-01-23
    http://www.gomplayer.jp/player/notice/view.html?intSeq=282 [gomplayer.jp]

    • by Anonymous Coward

      弊社では一般社団法人JPCERTコーディネーションセンター(https://www.jpcert.or.jp/)の協力を受け、アップデートサーバーへの攻撃について、調査を進め対策を行っております。

      JPCERTって調査サービスやってるの?

    • by Anonymous Coward

      いや、その「一部報道に対する弊社の見解について 2014-01-23」ですが、一番下にこのような文章が。
      ---------------------------------------------------------------------------------------------------------
      アップデートサービスをご利用いただけない期間は、下記より新規インストールを行っていただきますようお願い申し上げます。

      http://gom-player-ja.softonic.jp/ [softonic.jp]
      Softonicのダウンロードサイトに移動します。

      • SoftnicってISPレベルでブロックしてもらえないもんかね
        最近フリーのツールをGoogleで探すとたいていこのサイトがトップに出て来て、うっかりしてるとBaidu IMEだのhaloだのいらんものが突っ込まれるようになって大迷惑。 今年の春あたりから目立つようになった気がするけど、どうにかならんかねぇ
        親コメント
  • by Anonymous Coward on 2014年01月23日 19時53分 (#2532383)

    やたらアップデートがあってうざいからアップデート確認停止した
    もう1年くらいかなぁ?

  • by Anonymous Coward on 2014年01月23日 20時18分 (#2532398)

    アップデート機能切って自分で公式サイトにアクセスしてダウンロードしてくればいいだけのことでは?
    それともアップデートの通知とかオフにしてても勝手に実行しちゃうのか?

    どんなソフトもインストールしてまず最初に行うのがアップデートの自動確認をオフですね

    • by Anonymous Coward on 2014年01月24日 1時42分 (#2532558)

      リンク見ればわかるが
      app.gomlab.comという「正規サイト」がすでに怪しいわけで

      親コメント
    • 自動アップデートを無効にできないソフトもありますし。配布元のサイトを書き換えてウイルス
      の入ったインストーラを配布する手口もあります。
      確か水飲み場攻撃とかなんとかそんな名前。

    • by Anonymous Coward

      Windows Updateで自動更新をデフォルト有効にしているMSとかいう会社は正気とは思えないよね。

  • by Anonymous Coward on 2014年01月23日 20時25分 (#2532402)

    偽アップデートサイトを用意するような人なら「DNSポイズニング」で積極的に誘導してもおかしくないと思うんだけどなぁ。

  • by Anonymous Coward on 2014年01月23日 20時29分 (#2532408)

    GOMPlayerの設定ファイルが、最初からマルウェア配布サイトを指定していた?(内部の悪意ある行為)
    その場合、特定のバージョンでのみ?
    それとも、別のマルウェア、ウィルスが、GOMPlayerの設定ファイルを書き換えた?

    そこんとこどうなのよ、日向

    • by Ying (4319) on 2014年01月23日 20時53分 (#2532427)
      http://www.lac.co.jp/security/alert/2014/01/23_alert_01.htmlより、
      > 確認内容:インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
      > http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。

      > (当社確認内容。これ以外にも正規の内容が存在している可能性があります。)

      > 確認内容:ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が
      > https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

      単に間抜けだっただけじゃないですか?
      親コメント
      • by Anonymous Coward

        だから、「誰が」やったのかって事がわからんって話なのよ

        • by Anonymous Coward

          > それとも、別のマルウェア、ウィルスが、GOMPlayerの設定ファイルを書き換えた?
          設定ファイルの一つがAppData\Roamingの下なんで、この可能性が高いという事では?

    • by Anonymous Coward

      動画の再生で書き換わる・・・みたいな話もありますが、どうなんでしょう?

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...