ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-05-31

オンラインゲームサイトが不正アクセスを受け、更新ファイルがマルウェアにすり替えられていた件をまとめてみた。

| 15:54 |  オンラインゲームサイトが不正アクセスを受け、更新ファイルがマルウェアにすり替えられていた件をまとめてみた。を含むブックマーク

Aimingは自社オンラインゲーム「Blade Chronicle」のパッチサーバー不正アクセスを受け、クライアントソフトがマルウェアにすり替えられ、ユーザーのPCにダウンロードされる事象が発生していたことを発表しました。ここではその関連情報をまとめます。

関連記事

次々明らかになるマルウェア「Infostealer.Bankeiya.B」感染インシデント

無題な濃いログ見ていたらJUGEMなど、ここ最近の改ざんインシデントが分かりやすくまとめられていました。

この内、「Blade Chronicle(ブレイドクロニクル)」は把握していなかったので少しだけ調べてみました。

ダウンロードサーバーはCDNetworksのIPアドレス

クライアントソフトウェアとすり替えられる形でマルウェアが設置されていたのはパッチサーバーとあったので、ダウンロードURLを調べてみたところ、「download.bladechronicle.jp」が使用されていました。

このIPアドレスを調べてみると14.0.33.141や14.0.42.151等、「14.0.32.0〜14.0.63.255」のいずれかのアドレスが返ってきます。関連性は未だ不明ながらここもCDNetworksを利用していたようです。

f:id:Kango:20140531151510j:image


ここまでの他インシデントとの状況まとめ

Infostealer.Bankeiya.Bへ感染する改ざんが行われたWebサイトを私はこれまで5つを確認していますが、内4つはCDNetworksのサーバーでした。またどこも発表では外部サービスへの不正アクセスが原因であることを匂わせる記載をしています。但し、「外部サービス」「ストレージサーバー管理会社」、これがCDNetworksのことかどうかはまだ明らかとなっていません。

改ざん被害を受けたWebサイト被害発生時期ドメインサーバー各社発表の不正アクセス事由
1JUGEM5月24日未明imaging.jugem.jpCDNetworksJUGEMが利用している外部サービスへの不正アクセスが原因であった可能性
2Aiming5月26日14時半以前download.bladechronicle.jpCDNetworksゲームサーバーを対象とした悪意のある外部の第三者から不正な接続のため
3HIS(リクルートマーケティングパートナーズ)5月26日18時頃cdn.c-team.jpCDNetworks外部のストレージサーバー管理会社における特定パソコン端末経由での不正アクセスにより、改ざんが行われたため
4Buffalo5月27日 6時頃driver.buffalo.jpCDNetworks委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていたため
5pandoratv不明pandora.tvLG DACOM KIDC不明

インシデント概要

Aimingが発表している内容は次の通り。

2ちゃんねるを見てもメンテ終了後にアップロードをしようと「」をダウンロードした、起動させたユーザーがマルウェアを検知したとの書き込みが確認できます。

(1) 被害対象

(2) 発端

  • クライアントソフト更新中にウィルス対策ソフトが検知をしたことによる。
    • 検知した「BladeChronicle.exe」のファイルサイズは966,656byte

(3) 原因

(4) 対応・対策

(5) インシデントタイムライン

日時出来事
2014年5月26日 14時30分クライアントソフトウェア更新中のユーザーからマルウェアを検知したとの声が出る
2014年5月27日 2時Aimingが臨時メンテナンスを開始
2014年5月27日 23:30時Aimingが臨時メンテナンスを終了
2014年5月28日頃Aimingが不具合発生原因がマルウェアによるものであることを発表。

更新履歴

  • 2014/05/31 PM 新規作成