正規のソフトウェアアップデートが原因で不正なプログラムが実行されることがある

2014/01/30

1年以上前の記事です。内容が古い可能性があります。

表題のとおりなのですが、だったらどーせいっちゅうねんてことになりますよね。

□ 正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック

具体的には当ブログでも紹介したことのある動画プレイヤー「GOM PLAYER」のアップデート時に不正なプログラムがインストールされてしまうようになっていたとのこと。

「GOM Player」の起動時に、製品のアップデートを促され実行した際に、アップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操作が行われる状況になっていたことを確認しました。

ただし、ターゲット以外のパソコンには害は及ばないそうです。
が、害を及ぼす事が可能なままにしていることに問題がありますね。

もっとも「GOM PLAYER」を使っていない方はまあ、問題ないわけです。
「GOM PLAYER」を使っている方は以下の手順で感染していないか確認してみましょう。

2. パソコンでの確認方法

GOM Playerの設定ファイルに記載されているURLを確認します。
確認内容：インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が
http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
（当社確認内容。これ以外にも正規の内容が存在している可能性があります。）
確認内容：ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

2014/01/27 更新

GOMPLAYERJPSETUP.EXE の後にPATH_REG=HKEY_LOCAL_MACHINE\Software\Gretech\GOMPLAYER\ProgramFolder EXE_NAME=GOM.exe と続く場合がありますが、これは感染の有無には関係ありません。

[GOMPLAYERBETA]というセクションがあるパソコンもありますが、この内容の確認は不要です。

英語版の製品を使用している場合 http://app.gomlab.com/eng/ のように記載されている場合がありますが、感染の有無には関係ありません。

※スタートメニューの検索ボックスで、以下のように打ち込むとフォルダが開きます。
　　　　　　%Appdata%\GRETECH\GomPlayer
%Appdata%とだけ打ち込んでエンターキーを押すと、フォルダ一覧が開くので、GRETECHフォルダ、GomPlayerを順にダブルクリックで開くこともできます。

こんなことしなくてもウイスル検知アプリで検知、駆除してあげればいいんですけどね。

ちなみに、どういったかたちで侵入してきたのかは以下の図がわかりやすいです。

http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック via kwout

いずれにせよ、正規のアップデートでウイルス感染などやりきれません。
が、一つ見落としてしまっているところがあるのでお伝えしておきます。
このアプリ、無料かつ高性能。
「タダほど怖いものはない」とはよくいったものでやはりそれなりにリスクがあるってことでしょうね。

ただし、有料でもたまにこういったこと、起こってるんですよねぇ。。
過去にはウイルス入りのUSBメモリが売られていたこともありました。
□ 店頭で販売されている製品にウイルス混入

これはもう救えないですよね。
今回はとりあえず無料アプリだったからまだしも、とは言え、有料だから安心というわけでもなさそうです。

いずれにせよ、ウイルス検知アプリは必須ということでしょう。