国内オンラインバンキングサービスを狙ったマルウェア混入事件が韓国系商用CDNサービスで発生した件

山本一郎です。ある意味で、歩くマルウェアです。

このところ商用ネットサービスにおいてサーバ改竄によるマルウェア拡散という事件が相次いでいます。

H.I.Sなど3サイト改ざん 閲覧者がマルウェア感染の恐れ(ITmedia 2014/6/2)

旅行代理店H.I.Sの公式サイトと、GMOペパボが運営するブログサービス「JUGEM」、動画サイト「pandora.tv」が改ざんされ、閲覧者がマルウェアに感染していた恐れがあることが分かった。(中略)3サイトは5月30日までにFlash Playerの脆弱性を悪用した攻撃を受け、Flash Playerを最新版に更新していないユーザーが、銀行口座情報を盗み取るマルウェアに感染した恐れがあるという。

出典:ITmedia

上記の記事では3件の事例が報告されていますが、ちょっと驚いたのは「pandora.tvは告知を行っていない」というところでして、こういう対応は商用サービスとしては通常ありえないと思いますが、韓国ではそれでも問題にならないのでしょうか。

それはともかく、これらのサイバー攻撃についてセキュリティ対策会社のシマンテックは以下のような見解を発表しています。

Adobe Flash の脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃(Symantec 2014/5/30)

現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。(中略)この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。

出典:Symantec

まさに日本のユーザーを狙い打ちという状況であります。この攻撃はさらに続き、今度は国内でも多くのユーザーを抱えるPC周辺機器メーカーのバッファローが標的となりました。

バッファロー、配布ファイルの一部が不正改ざん、ウイルス感染の恐れ(INTERNET Watch 2014/6/2)

株式会社バッファローは2日、オンラインで配布していた同社製品のユーティリティやドライバーなどの一部ファイルが改ざんされていた件について、詳細な情報を公表した。該当するファイルをダウンロードしてインストールした場合、オンラインバンキングの利用者を狙うウイルスに感染した恐れがあるとして、ユーザーに対処を呼び掛けている。

出典:INTERNET Watch

PC周辺機器用ドライバやアップデータ等を入手しようとするユーザーを狙った悪質な犯行ですが、正規サイトからのファイル入手経路がこうした形で改竄されてしまうと、余程に用心深いユーザー以外は簡単に騙されてそのままマルウェアをインストールしてしまう可能性が高く非常に危険な事態です。

バッファローの事件では不正なファイル混入がサーバ運用を依託しているCDNetworksにおいて発生したいたことが発表されました。

バッファローによると、ダウンロードサーバー委託先のCDNetworksにてファイルが改ざんされ、ウイルス感染が発生したとのことで、経緯については調査中だという。

このバッファローによる発表がきっかけとなったのでしょうか、このところ相次いでいた商用サービスにおけるマルウェア混入の多くがCDNetworksのサーバ改竄に起因していたことがメディアの取材で明らかにされます。

HISやバッファローのウイルス感染は、CDNetworksの改ざん被害が関与(ITpro 2014/6/3)

2014年5月下旬に複数のWebサイトで見つかった、アクセスしたユーザーをウイルスに感染させてしまう攻撃は、コンテンツ・デリバリ・ネットワークを提供する韓国CDNetworksのサーバー改ざん被害が原因であったと、関係者への取材で明らかになった。同社の改ざんされたサーバーには、Adobe Flash Playerの脆弱性を突いて感染するウイルスが組み込まれていた

出典:ITpro

大丈夫なのか、CDNetworks。

しかしながら、CDNetworksの日本法人はサーバ改竄の事実は認めていますが、「同社のサーバー改ざん被害の影響を受けた顧客の名前や、サーバー改ざんに使われた攻撃手法など、詳しい経緯については一切明らかにしていない」ということで事件の全容は不明のままです。

CDNetworksは商用コンテンツデリバリネットワーク(CDN)サービス事業者の大手ですが、セキュリティ面における対応が顧客から見てなにやら不透明な印象を与えてしまうのはいかがなものでしょうか。本来起きてはいけないことが起きてしまったわけですからもう少し真摯な態度を望みたいところです。バッファローは事件が起きてすぐに事業者を変更したようですが、まさに宜なるかなと言わざるを得ません。

ちょっと「事態を公表しない(できない)うちに被害拡大」の趣もありますので、微妙なところではありますが、正座して続報を待ちたいと思います。

なお、通信機器メーカーのBuffalo社は、オリックスバファローズとは無関係のはずです。