セキュリティ会社である株式会社ラックは23日、新しい標的型攻撃の手口として、正規のソフトアップデートを装って、コンピューターウイルスに感染させる事案を確認したと発表した。悪用されたソフトは韓国GRETECH Corp（グレテック）が配布している無料動画再生ソフト「GOM Player」（ゴムプレーヤー）。

発表によると、同社の緊急対応チーム「サイバー救急センター」が標的型攻撃についての調査を行う過程で本件が発覚したという。「GOM Player」を起動して製品アップデートを実行すると、アップデートプログラムを偽装したウイルスに感染し、外部からの遠隔操作が可能な状況になることが確認された。感染されたパソコンは、遠隔操作によってパソコン内や内部ネットワークの情報窃取の危険にさらされていたとしている。

具体的なウイルス感染方法は、アップデート設定ファイルの入手の際に正規サイトではなく攻撃者が用意した「踏み台サイト」へ接続するようになっていた。「GOM Player」のユーザーは偽物と知らずアップデート作業を行うと、「踏み台サイト」からウイルス感染させられる。その後、攻撃者は遠隔操作サイトを経由して、感染したパソコンを遠隔操作する。

ラック社はウイルスに感染したかどうかの確認方法を紹介している。ネットワーク管理者は、ファイアウォールもしくはプロキシサーバーなどの通信ログに「testqweasd.tk」「211.43.220.89」「114.202.2.4」の遠隔操作サイトと通信した痕跡が有るかどうかチェックすることで確認できる。

また、パソコンでの確認方法は、「GOM Player」の設定ファイルに記載されているURLを確認する。インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目がhttp://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。もしくは、ユーザーのローカルフォルダにあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

今回の注意喚起を受けて「GOM Player」を配布するグレテック社は見解を発表。「アップデートサーバーの安全性は確認しているが、事象が発生している可能性を踏まえ、全てのGOM製品のアップデートを一時中止する」としている。

発表資料（株式会社ラック）
URL：http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html

発表資料（グレテック）
URL：http://www.gomplayer.jp/player/notice/view.html?intSeq=282&page=1
2014/01/24