2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、オンラインバンキングを狙うマルウェアがダウンロードされてしまう事件が相次いで発生した。その原因はWebサイト運用で利用していた「外部サービス」にあるという。
2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、不正なファイルがダウンロードされてしまう事件が相次いで発生した。
この不正なファイルはAdobe Flash Playerの脆弱(ぜいじゃく)性を突くマルウェア「Infostealer.Bankeiya.B」で、オンラインバンキングの利用者を狙い、情報を盗み取ろうとするものだった。シマンテックによると、この攻撃の大部分は、日本のオンラインバンクの利用者を標的としていると見られる。
バッファローでは、同社ダウンロードサイト内のファイルの一部が改ざんされた。2014年5月27日の午前6時16分から午後1時までの間に、下記のファイルをダウンロードして実行していた場合、マルウェアに感染した恐れがある。このマルウェアは、オンラインバンクにアクセスした際にIDやパスワードを不正に取得するもので、最悪の場合は不正送金などの被害に遭う恐れがある。
製品名 | ファイル名 |
---|---|
エアナビゲータ2ライト Ver.1.60 | airnavi2_160.exe |
エアナビゲータライト Ver.13.30 | airnavilite-1330.exe |
エアナビゲータ Ver.12.72 | airnavi-1272.exe |
エアナビゲータ Ver.10.40 | airnavi-1040.exe |
エアナビゲータ Ver.10.30 | airnavi-1030.exe |
子機インストールCD Ver.1.60 | kokiinst-160.exe |
DriveNavigator for HD-CBU2 Ver.1.00 | drivenavi_cbu2_100.exe |
LinkStationシリーズ ファームウェア アップデーターVer.1.68 | ls_series-168.exe |
HP6キャッシュ コントロール ユーティリティ Ver.1.31 | hp6v131.exe |
BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ(マウス付属USBアダプター)ドライバーVer.2.1.63.0 | bsbt4d09bk_21630.exe |
バッファローがログを解析したところ、これらファイルに対し856回のダウンロードがあったことを確認したという。
バッファローではこれらのファイルを配布するダウンロードサーバーをCDNetworksに委託していた。CDNetworks内でなぜ改ざんが発生したかの経緯については調査中だ。「自社で運用しているWebサイトについては脆弱性検査などを行っていた」(バッファロー広報)という。
CDNetworksに一連の経緯と他サービスでの被害状況について確認を求めたところ、「現時点(6月2日時点)では何もお答えできない」とのことだった。CDNetworksの公式サイトにある導入事例には、ブログサービス「JUGEM」の他、弥生やクックパッドといった企業の名前が並んでいる。
CDNetworksは2014年6月3日、セキュリティ侵害に関するプレスリリースを公表した。これによると同社のコンテンツデリバリーネットワーク(CDN)サービス、「ウェブ・パフォーマンス・スイート」のオプションとして提供している「コンテンツのアップロードサービス」の一部においてセキュリティ侵害が発生したという。
この結果、顧客がアップロードしたコンテンツの一部が改ざんされ、「本サービスをご利用中のお客様においてごく限定的な範囲で影響を及ぼし」たという。同社によると、CDNサービス全体には影響は及んでおらず、コンテンツアップロードサービスを利用していない顧客、もしくは同社からの通知がない顧客については被害は発生していない。なおリリースの中では、影響を受けた顧客名は明らかにされていない。
今回の事態を受けて同社は、「本サービスの提供環境を、セキュリティが強化された新しいネットワークおよびプラットフォームに移設」した。ただし、具体的にどういった施策を打ったかまでは触れられていない。同時に、全ファイルについて改ざんの有無を検証した他、外部セキュリティベンダーとの連携に基づき、セキュリティ対策ガイドを顧客向けに提供するといった措置を実施した。
CDNetworksは具体的な侵入の時期や原因は明らかにしていない。今後詳細な原因について調査を進めるとともに、中長期的な対策の準備を進め、再発防止に向け最善の努力を尽くすとしている。
CDNetworks:セキュリティ侵害に関するお知らせ
http://www.cdnetworks.co.jp/pressrelease/2207/
国内では他にも、正規のWebサイトの改ざんによるマルウェア感染被害が発生していた恐れがある。
GMOペパボは2014年5月28日、ブログサービス「JUGEM」「ロリポプログ」「デイズブログ」などで公式のJavaScriptファイルが改ざんされ、ブログを閲覧した際にマルウェアがダウンロードされる状態が発生していたことを明らかにした。
同社の告知によると、改ざんが発生していたのは2014年5月24日未明から5月28日12時ごろまで。
という4つのJavaScriptファイルが改ざんされており、ブログを閲覧しただけでマルウェアに感染する恐れがあった。このマルウェアは、バッファローの場合と同様に、Adobe Flash Playerの脆弱性を突いてオンラインバンキングを狙うInfostealer.Bankeiya.Bだったという。
GMOペパボによると、これら公式ファイルは「外部サービスで配信していた」もの。改ざんの原因は、この外部サービスへの不正アクセスだった可能性があるという。
またエイチ・アイ・エスも2014年5月30日、同社Webサイトに埋め込まれていたJavaScirptが改ざんされ、閲覧しただけでマルウェアに感染する恐れがあったことを公表した。改ざんの期間は2014年5月24日から26日までで、同じくInfostealer.Bankeiya.Bに感染するリスクがあった。
エイチ・アイ・エスではWebサイトの運営をリクルートマーケティングパートナーズに委託していた。そしてリクルートマーケティングパートナーズはさらに、外部のストレージサーバー(配信サーバー)を利用していた。この「外部のストレージサーバー管理会社における特定パソコン端末経由での不正アクセス」が原因となって、配信サーバー内のJavaScriptが改ざんされたとしている。
シマンテックが公表した情報によると、GMOペパボ、エイチ・アイ・エス以外に、動画共有サービス「pandora.tv」も侵害を受けたという。
一般に大容量の動画配信サービスでは、コンテンツデリバリーネットワーク(CDN)を利用することが多い。それでなくとも最近の複雑化したWebサイトでは、広告などで外部のコンポーネントやJavaScriptなどを呼び出して表示することが珍しくない。
自社で構築・運用したサイトならば、自ら定期的に脆弱性を検査できる。個別にWebサイト開発/運用を委託するような場合も、受け入れ時/納品時に脆弱性をチェックし、その結果を互いに取り交わすことで、セキュリティ的な品質をある程度担保できる。
しかし、「外部サービス」の利用についてはどうか。HASHコンサルティング代表の徳丸浩氏によると、「外部サービスの利用時に、顧客(企業)が自ら費用を負担して脆弱性診断する例は少なからずある」という一方で、「顧客が多額の費用を負担して検査をするというのもナンセンスであり、最近ではあまりないようだ」という。
現実的には、企業がサイト運営の中で外部サービスを採用する際には、
といった簡易的な検査を実施するか、あるいはベンダーに対する「信頼」に依拠して導入するケースが多いと徳丸氏は述べている。
なお、エイチ・アイ・エスとリクルートマーケティングパートナーズと外部ストレージサーバー管理会社のケースのように、委託先がさらに外部サービスを利用している場合は、「再委託を禁止するか、あるいは再委託先まで含めてセキュリティも含む品質保証をしてもらう場合が多い」という。
シマンテックによると、一連の攻撃では、いわゆる「怪しいサイト」ではなく、企業が公式に運営しているサイトが改ざんされて悪用された。このため、アクセスした時点でエンドユーザーが見抜くことは困難だ。
ましてや、公式サイトから配布されているドライバーソフトやアップデートファイルが改ざんされた場合、エラー表示やシグネチャに気を配るユーザーがどれだけいるかは疑問だ。
この攻撃の誘導先で読み込まれるマルウェア「Infostealer.Bankeiya.B」は、Adobe Flash Playerに存在する脆弱性(CVE-2014-0515)を悪用する。この脆弱性に対しアドビは2014年4月にパッチをリリースしている。従ってエンドユーザーが実施すべき対策としては、
といった事柄が挙げられる。
Copyright © ITmedia, Inc. All Rights Reserved.