ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-06-03

CDNetworksで発生したコンテンツ改ざんと一連のマルウェア感染インシデントを改めてまとめてみた

| 22:15 |  CDNetworksで発生したコンテンツ改ざんと一連のマルウェア感染インシデントを改めてまとめてみたを含むブックマーク

2014年6月3日、CDNetworksは同社のCDNサービスがセキュリティ侵害を受け、それに伴いコンテンツの改ざんが発生したことを発表しました。ここではCDNetworksで発生したコンテンツ改ざんと、マルウェアが拡散された一連のインシデントについて改めてまとめます。

CDNetworksで発生したコンテンツ改ざんの全体まとめ

今判明している範囲でイメージに概要をまとめると次の通り。

f:id:Kango:20140701214225p:image

個別事案まとめ

以下にまとめてました。

インシデントタイムライン

一連の件のタイムラインは次の通り。全て2014年の記載。

日時出来事
5月24日未明GMOペパボのコンテンツが改ざんされる。
5月24日リクルートマーケティングパートナーズのコンテンツが改ざんされる。
5月26日CDNetworksがセキュリティ侵害について認知
5月26日 14時半Aiming提供のゲームコンテンツクライアントで障害が発生する。
5月26日 18時頃リクルートマーケティングパートナーズがコンテンツ改ざんされていることを確認。
5月26日リクルートマーケティングパートナーズがコンテンツの改ざんを修正。
5月26日 21時27分*1Buffaloダウンロードサーバーのファイルが改ざんされる。
5月27日 2時Aimingが臨時メンテナンスを開始。
5月27日 10時頃Buffaloが実行後に中国語が表示されると連絡を受ける。
5月27日 13時20分Buffaloダウンロードサイトを停止。CDNetworksへ調査を依頼。
5月27日 23時半Aiminguが臨時メンテナンスを終了。経緯とお詫びを掲載。
5月28日 12時GMOペパボ改ざんされたコンテンツを修正。
GMOペパボが同社サービス閲覧時にウィルス対策ソフトが動作すること、原因調査中であることを報告。
5月28日 20時18分GMOペパボが同社サービスの改ざんが原因であることを報告。
5月28日 23時40分GMOペパボが同社サービスで利用している外部サービスへの不正アクセスが原因である可能性を報告。
5月28日CDnetworksがCDNサービスのサーバーにアクセス可能なアカウントパスワードを変更
5月29日CDnetworksが自社PC全台のウィルススキャンを実施。検知がないことを確認。
5月30日CDnetworksが不正侵入をリアルタイムに検知できるシステムを配備
5月30日H.I.Sが同社Webサイトで利用するリクルートマーケティングサービスでコンテンツの改ざんが行われたことを発表。
5月30日リクルートマーケティングパートナーズがコンテンツの改ざんが行われたことを発表。
5月30日Buffaloダウンロードサーバーを再開。ファイルの改ざんが行われたことを発表。
6月1日CDnetworksが同社サービスを利用する全てのユーザーコンテンツを改ざんがないことを確認し、新規アップロードサーバーへ移行。
6月2日Buffaloダウンロードサイトのファイル改ざんに関するお詫びと詳細な経緯を発表。
6月3日CDNetworksがセキュリティ侵害によるコンテンツ改ざん発生について発表
6月3日CDNetworksが全ての改ざんファイルの消去を完了
6月3日CDNetworksがアップロードサーバーを操作できるPCを限定。
6月9日Buffalo改ざんが行われた時間の訂正を発表
6月9日〜13日ラックがCDNetworksの調査結果の評価とセキュリティの現状把握、改善策の立案を実施
6月11日CDNetworksがセキュリティ侵害の調査状況等、続報を発表
6月27日CDNetworksが全てのサービスサーバーログイン管理を認証サーバー経由の方式に移行
6月27日CDNetworksがワンタイムパスワード認証を含む三要素認証によるログイン方式に変更
6月27日CDNetworksがセキュリティ侵害の調査状況等、最終報を発表

各社の発表

今回の件について各社からの発表は次の通り。

CDNetworks
GMOペパボ(JUGEM)
H.I.S
リクルートマーケティングパートナーズ
Buffalo
Aiming(ブレイドクロニクル)

導入事例で紹介されている各社の状況

導入事例紹介企業導入サービス影響有無に関する発表
山佐株式会社コンテンツ・アクセラレーション発表は行われていない模様。
Yatedo Inc.コンテンツ・アクセラレーション発表は行われていない模様。
ビムーブ株式会社メディアアクセラレーション発表は行われていない模様。
Saxo Bankダイナミック・ネットワークアクセラレーション発表は行われていない模様。
株式会社朝日新聞社コンテンツ・アクセラレーション発表は行われていない模様。
ヒロセ通商株式会社ダイナミック・ウェブアクセラレーション発表は行われていない模様。
株式会社ビヨンドコンテンツ・アクセラレーション発表は行われていない模様。
6/8頃 導入事例一覧から削除された。
株式会社nanapiコンテンツ・アクセラレーション発表は行われていない模様。
クックパッド株式会社コンテンツ・アクセラレーション発表は行われていない模様。
6/5 導入事例一覧から削除された。
株式会社ファンコミュニケーションズコンテンツ・アクセラレーション発表は行われていない模様。
6/6 導入事例一覧から削除された。
株式会社東急ホテルズコンテンツ・アクセラレーション発表は行われていない模様。
ジュピターショップチャンネル株式会社メディアアクセラレーション発表は行われていない模様。
弥生株式会社コンテンツ・アクセラレーション6/3 発表あり
ダウンロードサービスの安全性について
株式会社リコーコンテンツ・アクセラレーション発表は行われていない模様。
株式会社テレビ朝日メディアアクセラレーション発表は行われていない模様。
「期間限定契約」と追記された。
郵便事業株式会社コンテンツ・アクセラレーション発表は行われていない模様。
「サービス契約終了」と追記された。
  • 2014年6月4日 14時半時点の情報。
  • 導入事例と紹介されてはいるが、現在もCDNetworksのサービスを利用しているかは不明。

マルウェア「Infostealer.Bankeiya.B」関連

無題な濃いログ
Symantec Report

CDNetworksコンテンツ改ざんインシデントまとめ

(1) 被害対象

「コンテンツアップロードサービス」とは何か?

同社「ウェブ・パフォーマンス・スイート」の「オプションサービス」には「コンテンツのアップロード」についての記述は特に見受けられません。

しかし、CDNetworksの「ウェブ・パフォーマンス・スイート」のサービスの1つ「ダイナミック・ネットワークアクセラレーション」の説明において次の図が掲載されています。これを見ると、外部からCDNetworksのCDNのサーバー(エッジサーバーだろうか?)へアップロードする機能が提供されているように読めます。

f:id:Kango:20140603213859p:image

但し、Aimingはじめ事例が紹介されているユーザーの多くは「コンテンツ・アクセラレーション」サービスを利用しているようであり、この「ダイナミックネットワークアクセラレーション」で提供されているようなサービスが「コンテンツアクセラレーション」にも存在するかは不明。プレスには「オプションサービスとして付加的に提供」との記述が存在することから希望したユーザーにのみこのようなアップロード機能を提供していた可能性があります。

事業者利用していたサービス
GMOペパボコンテンツ・アクセラレーション
リクルートマーケティングパートナーズ不明
Buffalo不明
Aimingコンテンツ・アクセラレーション

被害を受けたコンテンツ

現在明らかになっている被害は以下の通り。現時点で連絡がされていない顧客は改ざん被害は出ていない。

改ざん被害後の各社のCDNの状況

事業者ドメインCDNの変遷
GMOペパボimaging.jugem.jpCDNetworks → CDNetworks(「コンテンツのアップロードサービスの利用停止」)
リクルートマーケティングパートナーズcdn.c-team.jpCDNetworks → Amazon Web Service
Buffalodriver.buffalo.jpCDNetworks → GoogleDrive → Amazon Web Service
Aimingdownload.bladechronicle.jpCDNetworks → CDNetworks(変更なし?)

(2) 発端

  • 不明。

(3) 原因

  • CDnetworksは以下が原因であるとの結論に至ったと発表。
    • コンテンツアップロードサービス用サーバーに直接ログインされたことによる。
    • 改ざんはCDNetworks側に原因がある。(CDNサービス利用者が原因ではない。)
    • 外部より社内の端末が侵入され、当該端末を通じてサーバーへ不正侵入された可能性が極めて高い。
      • 同社はこれをAPT攻撃によるものであると報告している。

(4) 対応・対策

謝辞

このまとめは次の方より頂いた情報を元に修正・追記を行っています。ありがとうございます!

@kaito834さん

更新履歴

  • 2014/06/03 PM 新規作成
  • 2014/06/04 PM 各社利用のサービス名を追記。一部文言の修正。
  • 2014/06/04 PM 導入事例に注釈を追記。
  • 2014/06/12 PM 続報を反映。
  • 2014/07/01 PM 最終報を反映。
  • 2014/07/24 AM 誤字を修正。

*1Buffalo発表に伴い修正

*2:「ショップサイト」と記述していましたが、ショップサイトは影響対象に含まれておりませんでした。失礼いたしました。