あるセキュリティー製品開発会社の記事から

とあるセキュリティー関係の記事できになったことがあったので、とりまとめて記事にします。
要約すると、vlx playerの脆弱性を悪用して、リモートソフトなどをねじ込まれた事例があり、PC maticという製品では要注意の製品に指定した、代替ソフトに『CnX Media Player』を推奨する、というものです。

vlc playerにかけられた嫌疑と、セキュリティー対策ソフト各社の対応(検出の状況)、日本国内のセキュリティー分析機関の情報が出揃ってくれば、状況はより明確になるでしょう。

この記事では、『CnX Media Player』って代替としてどうなの？そもそもどこの国のどんなソフトなのか？に特化して記事を残します。

CnX Media Player ってどこのソフト

該当するサイト (www.cnxplayer.com) には、以下の会社情報がありました。

PathwinSoftwarePvt。Ltd.、
Attn：Privacy Rights Administrator
2141、Sector 48 C、
Chandigarh、160047

個人的にはまったく知らないソフトウェア会社でした。

Pathwin Software Pvt ってどんな会社？

検索エンジンで、『Pathwin Software』を探してみました。あまり時間をかけていないこともあり、残念ながら開発会社自身と思われるサイトはありませんでした。
住所を頼りにどこの国の企業なのか、探ってみたところ

インド北部の都市、チャンディーガル(Chandigarh)が出てきました。
インドのIT企業のようですね。プライバシーボリシーのページには、米国国内法への対処と思われる記述もありますのでグローバルに展開している企業と推察しています。
ただ、個人的に聞いたことのない企業とソフトウェア名称なので、vlc playerの代替として推奨すのは、どうなんだろう？という疑問が残ります。

今回の記事でひっかかっているところ

PC maticの記事では、4月5日に事象を把握しているらしいので、セキュリティー対策企業や、IPAなどの代表される分析・調査機関なども約1カ月の時間があるはずなのですが、それらしい報告をまだ見ていません。
当店においても、5/16の時点で、このvlc media playerを普段の利用から除外すべきという結論には至っていません。もちろん不安に思われる方は他社製品の利用も検討されるべきでしょう。ただ、このPC maticの記事にあるような『CnX Media Player』の利用は慎重に検討してください。
当店スタッフは、誰一人知るものはおりませんでした。

参考リンク

記事内で参照している記事へのリンクです。

PC maticのvlc playerへの注意喚起がされた記事です。
LinkPC Matic：VLC media playerを利用したサイバー攻撃確認のご報告