advertisement
セキュリティソフトの開発などを手掛ける企業Check Pointが、動画の字幕ファイルを使った新種のサイバー攻撃について報告。脆弱性のあるソフトを実行しているプレーヤーは約2億と推定しています。
すでに脆弱性が確認されているのは、メディアプレーヤー「VLC」「Kodi」「Stremio」「Popcorn-Time」の4種。
マルウェアを仕込んだ字幕ファイルを、PCやスマホ、テレビをはじめとした端末から読み込ませる手法で、端末を外部からコントロールされてしまう恐れが。機密情報の盗難、サーバーに負荷をかけるDoS攻撃など、さまざまな形で悪用される可能性があり、例を挙げていくと「endless(きりがない)」としています。
このサイバー攻撃のアプローチは、これまでのものと大きく異なり、従来のウイルス対策ソフトで防ぐことは難しいそうです。ユーザーのみならず、セキュリティー会社のあいだでも「字幕ファイル=安全」という認識が広まっており、警戒されていなかったようです。
Check Pointの報告を受けた「VLC」「Kodi」「Stremio」「Popcorn-Time」では、一部の問題に対応したアップデートが行われています。なお、これら以外のメディアプレーヤーにも脆弱性が存在する可能性があるとのこと。
(マッハ・キショ松)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 世界的被害のランサムウェア、国内被害に警察庁が注意喚起 日立ではメール障害も
5月22日、記事を追記いたしました。 - USBストレージのデータを盗み取るマルウェアが発見、セキュリティ団体が注意喚起
クローズド環境で作業したファイルでも、接続先のネットワーク端末が感染していた場合は盗まれてしまう。 - 米セキュリティ企業が警鐘 ワイヤレスマウス経由でPCを乗っ取る「マウスジャック」の手口が発見される
ワイヤレス入力デバイスのドングルが、外部から制御されてしまう。 - スパム業者が14億人もの個人情報を所持、1日に10億件の迷惑メール送信 誤って公開されたバックアップデータから明らかに
セキュリティ研究チームが一般公開されたファイルから発見しました。 - 郵便受けに危険なUSBメモリが入れられる事件 PCに接続しないよう豪警察が警告
オーストラリアで被害が報告されています。 - pixivになりすましログインが発生、アカウント乗っ取りや第三者による画像投稿も 運営側はパスワード変更を呼びかけ
他サイトと同じパスワードを使用していたアカウントが攻撃されています。 - 米ヤフー、10億件を超える過去最大規模のユーザー情報流出 9月の5億件流出とは別件
2013年8月に発生していたことが判明。 - 米ヤフーが5億件のユーザー情報流出 国家関与のサイバー攻撃か
過去最大規模の情報流出。 - 講談社「ViVi」の通販サイトに不正アクセス 個人情報1万5000件流出
「ViVi」の通販サイト「NET ViVi Coordinate Collection」に不正アクセスがあり、氏名、住所、メールアドレス、電話番号などが流出したと報告。 - 「Ameba」のアカウント5万件に不正ログイン 流出済みのID・パスワードを用いたリスト型攻撃から
運営のサイバーエージェントは謝罪とともに、推測されにくいパスワードへの変更をあらためて推奨しています。