セキュリティ企業のラックは1月23日、GRETECHが提供する動画再生ソフト「GOM Player」の正規のアップデート機能を悪用してユーザーをマルウェアに感染させる標的型攻撃を確認したと発表した。新たな攻撃手法とみられ、同様の手口が拡大する恐れがあると注意を呼び掛けている。
ラックによると、この攻撃は同社がセキュリティ監視を行っている顧客企業で確認された。複数の顧客企業のPCから遠隔操作やスパイ行為、外部への通信などの機能を持つマルウェアが見つかり、GOM Playerのアップデート機能がこのマルウェアの感染経路になっていた。
GOM Playerは起動時に正規サイトへ接続し、アップデートプログラムの所在が記載された設定ファイルを取得する。しかし、この攻撃ではユーザーが正規サイトから攻撃者の設置する「踏み台サイト」に誘導され、踏み台サイトからユーザーのコンピュータにマルウェアが送り込まれる。踏み台サイトは国内で稼働していた。
正常なアップデートの流れ(ラックより)
確認された攻撃の流れ(同)正規サイトから踏み台サイトへ誘導されてしまう原因は特定されていないものの、同社では通信経路内の改ざんや正規サイトの改ざんが疑われると推測している。
この手口は正規のソフトウェアの更新機能を悪用することから、ユーザーが事前に危険性を確認することは、ほぼ不可能だという。ユーザーには安全が確認されるまでアップデートを行わないことを推奨しており、最新版に更新する場合は信頼できる方法に従って実施することをアドバイスする。
今回の攻撃は企業のPCで見つかっていることから、同社では企業に、社内で使用されているソフトウェアのアップデート手順や管理方法に関して精査を呼び掛けた。またソフトウェア提供企業に対し、信頼できるソフトウェア配布機能の実装や、ユーザーがソフトウェアの正しい動作を確認できる機能を盛り込むといった工夫をしてほしいとしている。
関連記事
- Apache Struts2の脆弱性攻撃の検知が急上昇、ラックが注意喚起
- IEのゼロデイ攻撃は少なくとも「日本限定」 ファイア・アイが注意喚起
- セキュリティ会社のお知らせになりすますマルウェア攻撃にご注意
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.