ソフトウェアアップデート. 正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認しました。ラックが2013年10月9日に発表した「日本でも発生した『水飲み場型攻撃』に対して注意喚起」とは異なる、新しい標的型攻撃の手口と捉えています。
Android 搭載スマートフォンやタブレットの多くは、ダウンロードした Android アップデートのインストール中に自動的に再起動します。インストールが完了すると、アップデートが有効になります。 関連記事 . トップレベルのセキュリティ技術を駆使した最高峰のセキュリティサービスと、ITトータルソリューションを提供します。ご相談は予約不要、24時間対応セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。電話で相談するメールで相談する自分で調べるご相談は予約不要、24時間対応セキュリティ事故発生時はすぐにご連絡ください電話で相談するメールで相談する自分で調べる当社の本注意喚起情報は、当該ソフトウェアを使用しているお客様が、本事案の悪影響を受けていないかを確認する方法をお伝えするために公開いたします。また、今後、企業内で使用している正規ソフトウェアのアップデートにおいて同様の仕掛けがなされる危険性もあり、あわせて注意喚起するものです。2014/03/10 更新本注意喚起情報を多くの皆様にご覧いただき、また100件を超える電子メールおよびお電話でのお問い合わせをいただました。情報を発信した企業としての責任として、お問い合わせ頂いたすべてのお客様の状態を電話やメールで確認いたしました結果、当社の調査においてはマルウェアの感染が確認された環境はございませんでした。2014年3月6日に、今回の攻撃行為に悪用されたGOM Player の開発・提供元である株式会社グレテックジャパンより、本件に関する報告文面が掲載されました。マルウェア（ウイルス）感染に関するお詫びと調査結果のご報告この報告の詳細に関しては、株式会社グレテックジャパンへお問い合わせをいただきますようお願いいたします。ラックインフォメーション2014/01/27 更新株式会社グレテックジャパンより、本事案における調査状況に関する情報が公開されました。株式会社グレテックジャパンの情報では、2013年12月27日から2014年1月16日までの期間にGOM Playerアップデートサーバーへの攻撃が確認されたとのことです。2014/01/23 更新本事案に悪用されたGOM Playerを日本で配布している株式会社グレテックジャパンより、本件に関する見解が公表されています。一部報道に対する弊社の見解について注意喚起情報は、ラックメールマガジン（臨時号）にて、配信をご希望の方は本事案は、当社の本事案においてウイルス感染に悪用されたソフトウェアは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」です。「GOM Player」の起動時に、製品のアップデートを促され実行した際に、アップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操作が行われる状況になっていたことを確認しました。感染パソコンは、遠隔操作されることで、パソコン内や内部ネットワークの情報窃取など様々な被害を引き起こす恐れがありました。本事案における脅威は、正規のソフトウェアのアップデートという、ユーザーには正否の判断を行うことができない状況で感染活動が行われることにあります。パソコンを使用しているユーザーは、OSやその他使用しているソフトウェアのアップデートを信頼し、ウイルス感染を警戒することはありません。また、アップデート時に実施確認を求められてもその危険を判断することは困難です。本事案においては、このような状況に加え、先に注意喚起を行った本事案の調査において確認された、GRETECH Corp.が提供する「GOM Player」を悪用した攻撃は、以下の方法で行われていると推測しています。「GOM Player」は、起動時に、app.gomlab.comという「正規サイト」からアップデート設定ファイルを取得します。アップデート設定ファイルには、アップデートプログラムの所在が記載されており、「GOM Player」は、この所在からアップデートプログラムを入手します。しかしながら本事案においては、アップデート設定ファイルの入手の際、「正規サイト」ではなく、全く別の「踏台サイト」に転送接続するよう仕掛けられていました。この「踏台サイト」への転送接続は、 1) たとえばDNSキャッシュポイズニングのような通信経路内での改ざん、もしくは 2) 接続がリダイレクトされるように「正規サイト」が改ざんされた、等が考えられます。「GOM Player」により、アップデートを促す表示がなされます。アップデートを実行すると、そのまま「踏台サイト」からコンピューターウイルスがダウンロードされ感染します。コンピューターウイルスに感染したパソコンは、「遠隔操作サイト」に接続して、攻撃者からの命令を受け取り遠隔操作されます。本事案は、正規のソフトウェアのアップデート機能を悪用した攻撃手法のため、攻撃を事前に回避することは大変困難です。しかしながら、今回のウイルスに感染したか否かを以下の方法で確認できます。ファイアウォールもしくはプロキシサーバーなどの通信ログに、コンピューターウイルスが「遠隔操作サイト」と通信した痕跡がないかを確認します。GOM Playerの設定ファイルに記載されているURLを確認します。確認内容：インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が確認内容：ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目が※スタートメニューの検索ボックスで、以下のように打ち込むとフォルダが開きます。上の内容以外の情報が発見された場合には、被害拡大防止のため関係機関もしくは当社までご連絡ください。上記の確認を行った結果、感染の可能性が認められた場合には、以下の方法で対処を行ってください。安全が確認されるまでアップデートを行わない運用をお勧めします。今回、ソフトウェアアップデートがウイルス感染手段として悪用されたことから、ソフトウェア提供企業は信頼できるソフトウェア配布機能の実装を行っていただくとともに、ユーザーが本来の正しいソフトウェアが動作していることを把握できる機能を盛り込むなどの工夫をしていただくことが、信頼維持のために重要なことと考えます。以上当社の注意喚起情報に関するよく寄せられる質問は、注意喚起情報は、ラックメールマガジン（臨時号）にて、配信をご希望の方はこの記事は役に立ちましたか？関連記事をご紹介しますWithコロナ時代の7つのサイバーリスク～いま経営者が考えるべき、テレワークとサイバーセキュリティとは～新型コロナウイルスに便乗したスパムメール、攻撃グループの特徴を紹介初めてづくしの「オンライン・インターンシップ」開催。得られた成果は？カテゴリータグサイバーセキュリティに関するメルマガでは、より厳選した情報を