図●「GOM Player」を悪用したウイルス感染の流れ(ラックの発表情報から引用)
図●「GOM Player」を悪用したウイルス感染の流れ(ラックの発表情報から引用)
[画像のクリックで拡大表示]

 グレテックジャパンは2014年1月24日、動画再生ソフト「GOM Player」を悪用したウイルス(マルウエア)感染の原因は、GOM Playerのアップデートサーバーへの不正アクセスであることを明らかにした。GOM Playerがアップデートサーバーにアクセスすると、攻撃者が用意した踏み台サイトに転送され、アップデートプログラムに見せかけたウイルスがダウンロードされたという。

 セキュリティベンダーのラックは1月23日、GOM Playerのアップデートを実行すると、ウイルスに感染する恐れがあったことを報告。複数の国内企業において、感染が確認されたと発表した(関連記事:もんじゅウイルス混入の原因か? ラックが韓国製動画再生ソフトのアップデートでウイルス確認)。

 ラックによると、GOM Playerが正規のアップデートサイト(app.gomlab.com)にアクセスすると、何らかの方法で攻撃者の踏み台サイトに誘導され、アップデートプログラムを装ったウイルスがダウンロードされる状況だったという()。

 ラックでは、踏み台サイトへの転送方法としては、「DNSキャッシュポイズニングのような通信経路内での改ざん」や「接続先をリダイレクトするような正規サイトの改ざん」などが考えられるとしていた。今回、グレテックジャパンは、正規サイトへの不正アクセスが原因で、踏み台サイトに転送されていたことを明らかにした。

 グレテックジャパンによれば、2013年12月27日から2014年1月16日にかけて、米国に設置した正規のアップデートサーバーに対して、断続的に不正アクセスがあったことを確認したという。この期間に、GOM Playerをアップデートしようとすると、GOM Player日本語版のインストールプログラム(GOMPLAYERJPSETUP.EXE)に見せかけたウイルスが踏み台サイトからダウンロードされて、感染する恐れがあった。

 このため同社では、同期間中にGOM Player日本語版のアップデートした可能性があるユーザーに対して、最新の状態にアップデートしたセキュリティソフトを使って、ウイルスチェックを行うよう勧めている。