GOM Playerによる感染経路がニュースになってたので補足してみた
韓国製ソフト Bandizipにマルウェアが入ってないか調べてみた
詳しい情報は以前まとめたのですが
正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ情報 | 株式会社ラック
GOM Player、ウイルス感染チェック法 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
読売オンラインでラックによる説明がニュースになっていたので、このラックさんの画像を加工して、
うちで解析した内容で補足してみるね・ω・
クリックすると拡大するよ。
Copyright c 2014 LAC Co., Ltd. All Rights Reserved.(LAC さんのページの画像を流用して改変してるよ・ω・)
私の調査結果だと図にするとこんな感じ。
だから、ユーザーはほとんど気づかないというわけ。
いかがかな?
確認方法で確実なのは
GOM PLAYERに同梱されている実行ファイルにGRETECH の正規の電子署名が入ってるか確かめる。
これ結局GRETECHは悪くないってことになるんですか?
>うちで解析した内容で補足してみるね・ω・
これは詳細について是非記事にして頂きたいと思います。
もし図解の通り改変したパッケージの配布という手口であればインストール前にきちんと確認すれば済むだけの話なので報道はかなり誇大しすぎ感ありありになりますし。
報道で知りうる内容だけではDNSポイズニング位しか手口が考えられませんでしたから、いよいよHTTP2.0の全部SSL通信くらいしか手が無いのか、と考えされられていたところです。
改変者がGRETECHと関係ないなら無実。
裏で改変用のSDKを公開してて、攻撃者に提要してる可能性も無きにしも非ずだけど、
証拠はないし、そこまで疑うのもどうかなという感じですかね・ω・
詳細は以前記事にした通りなのですが、日本で言うところのVECTORみたいなサイトに、
目的のフリーソフトがあって、一見公式で配布してるようなインストーラーの形式だったら、
普通の人は確認しようがないんじゃないかなと思います。
で、結論は、韓国のソフトは公式サイト以外からダウンロードするな
ってことになると思います。