GOM PLAYER

株式会社グレテックジャパンの動画再生ソフト「GOM Player」について、起動時に行われるアップデートを実行すると偽のファイルをダウンロードし感染、PC内やネットワークの情報を盗み取られる可能性があるとのことです。

マイナビニュースによると、株式会社グレテックジャパンが提供する韓国製動画再生ソフトウェア「GOM Player」についてアップデートでウイルスに感染すると報じています。報道内容によると起動時に通常は「app.gomlab.com」という正規サイトからアップデート設定ファイルを取得するものの、何者かの不正行為により別のサイトから偽の設定ファイルをダウンロードするよう改ざん。自動実行されウイルスに感染し韓国あると考えられる遠隔操作サイトと通信を始め、その他のウイルスに感染させたり情報を盗み取るというということが行われていると報じています。 

株式会社グレテックジャパンはGOM PLAYER以外もGOM EncoderBandicamなども配布しており、同様に改ざんされていいた恐れがあるので注意が必要です。

情報セキュリティを扱う株式会社ラックによると、正規のソフトウェアアップデート機能を悪用した攻撃手法のため、攻撃を事前に回避することは大変困難のことです。ウイルスに感染したか否かについては、プロキシサーバーと通信した痕跡を確認することで判別できるとのことです。

正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック

GOM Playerの設定ファイルに記載されているURLを確認します。

確認内容:
インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が 「http://app.gomlab.com/jpn/gom/GrVersionJP.ini」以外になっていないか確認する。 (当社確認内容。これ以外にも正規の内容が存在している可能性があります。)

確認内容:
ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

※例えば、
Windows XPの場合:
      %Appdata%\GRETECH\GomPlayer
Windows7の場合:
      %AppData%Roaming\GRETECH\GomPlayer

-------------------------------

管理人からの補足
「AppData」及び「GrVersion.ini」は隠しフォルダになっているので、コントロールパネルのフォルダーオプションから【表示】のタブをクリックし、「隠しファイル、隠しフォルダ、および隠しドライブを表示する」に切り替えること。

windows7の場合はマイコンピューター→ローカルディスクC:→ユーザー→各自のユーザーネーム→AppData、と進む。分からない場合は、スタート(画面左下のウィンドウズのロゴ)から、プログラムとファイルの検索に「GrVersion.ini」と入力する。

ファイル「GrVersion.ini」のDOWN_URLが「https://app.gomlab.com/jpn/gom/GOMPLAYERJPBETASETUP.EXE」になっていなければ、この文字列(アドレス)に書き換え保存する。

何れのやり方が分からない場合はGOM PLAYERをアンインストールする。 

問題は1ヶ月以上前から?

今回のウイルス感染事件ですが、実は1ヶ月以上前から放置されていた恐れがあります。これは2014年1月6日、日本原子力研究開発機構が高速増殖炉原型炉「もんじゅ」で使用していたパソコンがウイルスに感染し、情報の一部が外部に漏れた可能性があると発表したことです。

その後、セキュリティー会社が調べたところ、動画再生ソフトの更新の際にウイルスに感染した可能性があり、韓国とみられる外国のウェブサイト向けの不審な通信で、情報漏洩の可能性があることも判明しました。

もんじゅの件については現在も調査が行われており、具体的にソフト名は公表されていないものの、ネットではGOM Playerが原因である疑いが強いとされています。

参考:マイナビニュース株式会社ラックITpro