ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-05-31

不正アクセスを受けマルウェアを配布していたBuffaloダウンロードサイトのホスティング元を調べてみた。

| 04:11 |  不正アクセスを受けマルウェアを配布していたBuffaloダウンロードサイトのホスティング元を調べてみた。を含むブックマーク

バッファローが自社ドライバダウンロードサイトが不正アクセスを受け、ドライバではなくマルウェアを配布していたことを発表しました。配布されていたマルウェアJUGEMやHISで話題となっているInfostealer.Bankeiya.Bに関連するようです。

関連記事

JUGEMで起きた改ざん等についてはこちらにまとめています。

ここではバッファローへの不正アクセスとその他情報について調べたことをまとめます。

バッファローより詳細が公開されました。

バッファローより感染するマルウェアの情報や経緯等が公開されました。

                <ご参考:これまでの経緯>

5月27日

 6:16   弊社サーバー委託先CDNetworks社(以下:委託先)にてファイルが改ざんされ、

      ウイルス感染(後日判明、経緯調査中)

:(中略)

13:20    シマンテック社へウイルス検体を送付し解析を依頼するとともに、委託先へ調査依頼。

      通信ログの確認により、委託先サーバー感染を確認。

http://buffalo.jp/support_s/20140602_2.html

「弊社委託のダウンロードサーバー」はCDNetworksなのか?

バッファローのお詫び掲載文は次の通り。

この度は弊社ダウンロードサーバーの休止で多大なご迷惑をお掛けしました事、深くお詫び申し上げます。

調査の結果、弊社委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていた事が判明しました。

改ざんされたファイルをダウンロードし実行されたお客様のパソコンはウィルス感染している可能性がございます。

早急にウィルスパターンファイルを最新にしていただきウィルスチェックをお願いいたします。

本件に関するお問い合わせは下記、専用窓口へお願いたします。

http://buffalo.jp/support_s/20140530.html

この発表が出る前からTwitter上で以下の様なつぶやきをしている方がいたため気になっていました。CDNetworksはJUGEMやHIS(リクルート)でも使用されていたCDNです。

そこで「弊社委託のダウンロードサーバー」が本当にCDNetworksなのか気になったので調べてみました。

Google Driveへの引っ越し

緊急メンテ中にダウンロード先がGoogleDriveへ変更されたようで元々が何だったのかが既にわからない状況です。

キャッシュからURLを探してみる

まずは改ざんを受けたとされるファイルを順次検索して、キャッシュが残っていないか確認しました。中々いい感じのキャッシュが見つからなかったのですが、「bsbt4d09bk_21630.exe」のダウンロード画面のキャッシュを確認したところURLが次の様に変化していることが分かりました。

f:id:Kango:20140531035747j:image:w640

「site:driver.buffalo.jp」で検索するとドライバダウンロードページが沢山出てきました。間違いはなさそうです。

f:id:Kango:20140531035748j:image:w300

ホスティング元の特定

リンクをクリックしてみましたが軒並み403ページが返ってきてしまいます。一応どこのサーバーにあるのか調べてみると何故かMicrosoftサーバーが指定されていました。暫定処置なのでしょうか。

f:id:Kango:20140531035749j:image:w640

変更前のIPアドレスが知りたかったのでもう少し検索してみました。Virustotalで次のIPアドレスが見つかりました。CDNetworksのIPは「14.0.32.0 - 14.0.63.255」のため、少なくとも記録が残っている5月はCDNetworksのIPアドレスとなっています。

f:id:Kango:20140531035750j:image:w300

というわけで、「弊社委託のダウンロードサーバー」はCDNetworksだったようです。一連の改ざんの件と関係はあるのでしょうか。

ちなみにこの「driver.buffalo.jp」の他、次のドメインも恐らくCDNetworksのサーバーだったのではないかと思われます。

driver.asia.buffalo.jp

driver.buffalo-kokuyo.jp

driver.opensource.baffalo.jp ← スペルミス?

driver.opensource.buffalo.jp

Amazon CloudFrontへ引っ越し

6月2日に再度確認してみたところドライバダウンロードURLがdriver.buffalo.jpへ戻っていました。どこのサーバーか確認してみると、AmazonのCDN「CloudFront」になっていました。

f:id:Kango:20140602142416p:image:w640

確認時点サーバーURL
5月30日時点CDNetworksdriver.buffalo.jp/buf-drv/secure/supply2/bsbt4d09bk_21630.exe
5月31日時点Googlegoogledrive.com/host/0B2ww0iEqoCZIcTlfSlduT3VzaGM/secure/supply2/bsbt4d09bk_21630.exe
現在(6月2日)Amazondriver.buffalo.jp/buf-drv/secure/supply2/bsbt4d09bk_21630.exe

インシデント概要

バッファローが発表していた掲載文は以下の通り。

(1) 被害対象

製品名改ざんされたファイル名
エアナビゲータ2ライト Ver.1.60airnavi2_160.exe
エアナビゲータライト Ver.13.30airnavilite-1330.exe
エアナビゲータ Ver.12.72airnavi-1272.exe
エアナビゲータ Ver.10.40airnavi-1040.exe
エアナビゲータ Ver.10.30airnavi-1030.exe
子機インストールCD Ver.1.50kokiinst-160.exe
DriveNavigator for HD-CBU2 Ver.1.00drivenavi_cbu2_100.exe
LinkStationシリーズ ファームウェア アップデーターVer.1.68ls_series-168.exe
HP6キャッシュ コントロール ユーティリティ Ver.1.31hp6v131.exe
BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ
マウス付属USBアダプター)ドライバーVer.2.1.63.0
bsbt4d09bk_21630.exe

(2) 発端

  • ドライバを実行したユーザーからサポートへ中国語が表示されたと連絡を受けたことによる。

(3) 原因

(4) 対応・対策

(5) インシデントライムライン

日時出来事
2014年5月26日 21時27分バッファロードライバファイルが改ざんされ、ダウンロードされ始める
2014年5月27日 13時バッファローが緊急メンテに入り、ダウンロードを停止する。
2014年5月30日 15時バッファローダウンロードサーバーの切り替え作業を行う。
2014年5月30日 19時バッファロー不正アクセスを受けマルウェアを配布していたことを発表。
2014年5月31日 22時30分バッファローが障害発生を受けダウンロードサーバーをさらに別の委託元へ振り替えを実施し完了。

更新履歴

  • 2014/05/31 AM 新規作成
  • 2014/05/31 AM 誤字修正
  • 2014/06/02 PM 最新情報を反映
  • 2014/06/02 PM 最新情報を反映
  • 2014/06/12 PM 最新情報を反映