【注意喚起】GOMプレイヤーアップデートでウィルス感染!確認方法まとめ

最終学歴幼稚園
有名無料動画プレイヤーGOMをアップデートするとウィルス感染してしまうという恐ろしい発表がありました。感染していないかどうかの確認方法まとめ。GOM開発元のGRETECH社に見切りをつける事件となりました。

▼初心者が良く使う無料動画プレイヤーGOM

GOM Playerは韓国のグレテック社が開発・配布している無料の動画再生ソフト。日本語版もあり、「世界200カ国で利用、5億ダウンロード」(公式サイトによる)の人気ソフト
GOM Player、ウイルス感染チェック法 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

よく使わせてもらっていました。

▼GOMの正規アップデートによるウィルス感染が確認された

株式会社ラックは23日、動画再生ソフト「GOM Player」のアップデートの仕組みを悪用してウイルスに感染させる複数の事案を確認したとして、注意を喚起した。
GOM Playerのアップデート機能を悪用してウイルス感染させる標的型攻撃が発生 -INTERNET Watch

セキュリティ企業のラック

同ソフトのユーザーは、起動時に製品のアップデートを促され、正規サイトへアクセスした際に、正規サイトを装った「踏み台サイト」に誘導される。
そこでアップデートプログラムを装ったコンピューターウイルスに感染し、外部からの遠隔操作が行われる状況になっていたという。
ASCII.jp:動画ソフト「GOM Player」の正規アップデートでウイルス感染のおそれ

ウイルス感染の流れ
「GOM Player」により、アップデートを促す表示がなされます。アップデートを実行すると、そのまま「踏台サイト」からコンピューターウイルスがダウンロードされ感染します。

この攻撃について、ユーザーにとって正規のアップデートかどうか判断することは難しく、危険を回避することはほぼ不可能
ASCII.jp:動画ソフト「GOM Player」の正規アップデートでウイルス感染のおそれ

不不不不可能!!

▼GOM開発のグレテックジャパンの声明

現時点でGOM Playerアップデートサーバーの安全性は確認しておりますが、今回報道されている事象が現時点でも発生していた場合の可能性を踏まえ、ユーザーのみなさまに安全なソフトウェアを提供することを最優先と考え、GOM Playerを含むすべてのGOM製品(GOM Encoder、GOM Audio、GOM Tray)のアップデートサービスを一時中止させていただいております。
一部報道に対する弊社の見解について(1月24日更新) – GOM Player【ゴムプレーヤー】

サーバーが安全でも、既にアップデートしたユーザーはアウトじゃねえか!

▼感染確認方法:2カ所見る必要あり

フォルダ(C:\Program Files (x86)\GRETECH\GomPlayerなど)にある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
【危険】「GOM Player」のアップデートでウィルスに感染する事例の確認方法

ローカルフォルダ(%Appdata%\GRETECH\GomPlayer)にあるファイル「GrVersion.ini」をメモ帳などで開き、 DOWN_URL の項目がhttps://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。
【危険】「GOM Player」のアップデートでウィルスに感染する事例の確認方法

Vistaの場合、左下windows>ユーザー名>Appdata>Roaming>GRETECH>GOMPLAYER
で該当ファイルに辿りつけました。

▼GOM本社は最新版のダウンロードをすすめていますがDLは×

見解のページで最新版ダウンロードをすすめるGOM
http://www.gomplayer.jp/player/notice/view.html?intSeq=282&page=1
ダウンロードしようとリンクをふんだら・・・


https://matome.naver.jp/odai/2139054675476712601/2139054924978749603
悪名高いSoftnicでのDLをすすめてる
これアカンやつや!

ふらんそわ@fffransowa

GOM Player、アップデートでウイルスをインストールする恐れ
engawa.2ch.net/test/read.cgi/…

その公式が偽装ウイルス配布サイトのsoftnicでアプデしろと言ってるからほんとキチガイかと

exit2112@exit2112

GOM Playerの代替えダウンロード先のSoftnicもマズイぞ。過去にはこんなもとも。。–> bit.ly/1mJRtwC

とし@tttoshi

公式でsoftnicに誘導してるソフトって自分は初めて見た

とし@tttoshi

やっぱsoftnicは悪質サイトだよなあ利用したことないけど。 厨速 – 【乞食】「Softonic」のソフトをインストールしたらホームページが「hao123」に書き換えられた(´・ω・`) cyusoku.blog.fc2.com/blog-entry-229…

▼原子力関連施設からデータが漏れた原因となったフリーソフトはGOMではないか?という噂があった

高速増殖原型炉もんじゅ(福井県敦賀市)で、職員用のパソコン1台がウイルスに感染し、メールなどの情報が外部に漏れた可能性があると発表した。
もんじゅ職員用PC、ウイルス感染 外部に情報流出か:朝日新聞デジタル

2014年1月6日報道

1月7日現在日本原子力研究開発機構は調査中として動画再生ソフトの公表を差し控えており*8、原因となった動画再生ソフトの具体的な内容は明らかとなっていません。
高速増殖炉もんじゅ 事務端末のウィルス感染についてまとめてみた。 – piyolog

感染原因として疑われている動画再生ソフト

韓国のIPアドレスへ接続していたとの報道情報もあることから2ちゃんねるを中心に韓国製の動画再生ソフト「GOM Player」ではないかとの推測が出ている
高速増殖炉もんじゅ 事務端末のウィルス感染についてまとめてみた。 – piyolog

今回の正規アップデートでウィルス感染の事件ともんじゅ事件がつながるのか、はたまた、GOMではなく別の動画プレイヤーによるものだったのかの続報は発表されていない。

追記:もんじゅPCウイルスはやはりGOMPLAYERの更新が原因でした!
もんじゅPCウイルス 韓国の動画ソフト更新で感染 福井 – MSN産経ニュース

もんじゅを運営する日本原子力研究開発機構は28日、当直責任者が、動画再生用のフリーソフト「GOM Player」をアップデート(更新)した際にパソコンがウイルス感染し、外部からの遠隔操作で情報が流出したことを明らかにした。

▼個人的見解

正規アップデートでウィルス感染の時点でもうヤバイ。
俺たち大丈夫やから心配するな!(ユーザーしらね)って声明が意味不明。
最新版ダウンロード先にSoftnic紹介している時点でクズ。
ウィルス感染はしていませんでしたがアンインストール決定です。
GOMに登録したお気に入りが消えてしまうのが残念だ…

https://matome.naver.jp/odai/2139054675476712601
2014年03月19日