ラックは23日、同社が運営するサイバー事件・事故 緊急対応チーム「サイバー救急センター」にて、正規ソフトウェアのアップデート時にウイルスがPCにダウンロードされる事案を確認したとして、注意を喚起した。同チームは「標的型攻撃の新しい手口」と捉えている。

この手口が確認されたのは、GRETECH Corp.が提供する動画再生ソフトウェア「GOM Player」。該当ソフトの起動時、正規アップデートを促され実行すると、PCがアップデートプログラムを装ったウイルスに感染し、外部から遠隔操作が行われる状況になっていたという。

正常なアップデートでは、ソフトウェアが正規サーバにアップデート設定ファイルの確認を行った際、サーバから正常なアップデート設定ファイルがダウンロードされる。その後、設定ファイルの要求に従い、正常なアップデート実行ファイルがPC側にダウンロードされる。

正規なアップデートの流れ(ラックの注意喚起ページより)

今回確認されたウイルス感染の事案では、正規サーバにアップデート設定ファイルの確認を行った際、何らかの方法で「踏み台サイト」に誘導され、「踏み台サイト」からPC側のアップデート設定ファイルを書き換える不正ファイルがダウンロードされる。

この書き換えられた不正ファイルが「踏み台サイト」にソフトウェアのアップデートを要求し、PCにウイルスが混入したファイルがダウンロードされる仕組み。この"何らかの方法"について、同チームは「通信経路内の改ざん」もしくは「正規サイトの改ざん」が考えられるとする。

本事案におけるアップデートの流れ(ラックの注意喚起ページより)

ウイルスに感染したPCは、内部PCや内部ネットワークの情報を窃取するなど、外部から遠隔操作される状態になっていた。なお、「踏み台サイト」は国内で稼動しているWebサイトで、「攻撃者から不正に侵入された」とみられる。

同チームは、同ソフトを使用するユーザーや、今後正規ソフトウェアにて同様の仕掛けがなされる危険性を考慮し、注意情報を公開したとしている。