ニュース
» 2017年05月25日 18時30分 公開

動画の字幕ファイルを悪用したサイバー攻撃の手口が発見される 端末を外部から操作されてしまう恐れ

「VLC」「Kodi」などのメディアプレーヤーで脆弱性が確認。

[マッハ・キショ松,ねとらぼ]

 セキュリティソフトの開発などを手掛ける企業Check Pointが、動画の字幕ファイルを使った新種のサイバー攻撃について報告。脆弱性のあるソフトを実行しているプレーヤーは約2億と推定しています。

 すでに脆弱性が確認されているのは、メディアプレーヤー「VLC」「Kodi」「Stremio」「Popcorn-Time」の4種。

 マルウェアを仕込んだ字幕ファイルを、PCやスマホ、テレビをはじめとした端末から読み込ませる手法で、端末を外部からコントロールされてしまう恐れが。機密情報の盗難、サーバーに負荷をかけるDoS攻撃など、さまざまな形で悪用される可能性があり、例を挙げていくと「endless(きりがない)」としています。

 このサイバー攻撃のアプローチは、これまでのものと大きく異なり、従来のウイルス対策ソフトで防ぐことは難しいそうです。ユーザーのみならず、セキュリティー会社のあいだでも「字幕ファイル=安全」という認識が広まっており、警戒されていなかったようです。


字幕ファイルを悪用したサイバー攻撃 「Popcorn-Time」による再現


字幕ファイルを悪用したサイバー攻撃字幕ファイルを悪用したサイバー攻撃 映画を再生して、字幕を選択


字幕ファイルを悪用したサイバー攻撃


字幕ファイルを悪用したサイバー攻撃 これだけで外部から端末をコントールできる状態に

 Check Pointの報告を受けた「VLC」「Kodi」「Stremio」「Popcorn-Time」では、一部の問題に対応したアップデートが行われています。なお、これら以外のメディアプレーヤーにも脆弱性が存在する可能性があるとのこと。


字幕ファイルを悪用したサイバー攻撃 メディアプレーヤー4種のアップデート版へのリンクは、Check Pointのブログ記事に掲載

マッハ・キショ松

Copyright © ITmedia, Inc. All Rights Reserved.

先月の総合アクセスTOP10

  1. 「訃報」「愛猫」「手風琴」って読める? 常用漢字表に掲載されている“難読漢字”
  2. 自分のことを“柴犬”だと思っている猫ちゃん!? 犬猫4きょうだいの息ピッタリな「いただきます」がお見事
  3. 圧倒的疾走感ッ! 深田恭子、ドローン撮影のサーフィン動画が「うわぉ カッコいい!」「水を得た魚のよう」と反響
  4. セーラームーンを自分の絵柄で描く「sailormoonredraw」チャレンジ 漫画家やイラストレーターの美麗なイラストが集まる
  5. 印刷した紙がプリンタから次々消失 → 原因を突き止めた動画に爆笑 「紙隠し」「ピタゴラスイッチだ」
  6. 「イチャイチャ感半端ない」 ヒロミ、妻・松本伊代をヘアカットする動画が130万回再生超えの大反響
  7. 「パワポで作った」 離れると意味が分かる岐阜新聞の「Stay Home」広告が話題、制作したのはデザイン経験のない営業社員
  8. 仕事のLINEに「洗濯たたみましたほめてほめて!」 応募総数8000件の「LINE誤爆」最優秀作品が決定
  9. 「私も撮りたい、貸して!」と言われて娘にカメラを渡したら―― 26万いいねを集めた衝撃写真を御覧ください
  10. 「レターパックプラスがボロボロの状態で郵便受けに入ってた」 受領印必須のサービス、明らかな過失でも補償なし? 日本郵便に聞いた