2014年6月3日、CDNetworksは同社のCDNサービスがセキュリティ侵害を受け、それに伴いコンテンツの改ざんが発生したことを発表しました。ここではCDNetworksで発生したコンテンツ改ざんと、マルウェアが拡散された一連のインシデントについて改めてまとめます。
CDNetworksで発生したコンテンツ改ざんの全体まとめ
今判明している範囲でイメージに概要をまとめると次の通り。
個別事案まとめ
以下にまとめてました。
インシデントタイムライン
一連の件のタイムラインは次の通り。全て2014年の記載。
| 日時 | 出来事 |
|---|---|
| 5月24日未明 | GMOペパボのコンテンツが改ざんされる。 |
| 5月24日 | リクルートマーケティングパートナーズのコンテンツが改ざんされる。 |
| 5月26日 | CDNetworksがセキュリティ侵害について認知 |
| 5月26日 14時半 | Aiming提供のゲームコンテンツクライアントで障害が発生する。 |
| 5月26日 18時頃 | リクルートマーケティングパートナーズがコンテンツ改ざんされていることを確認。 |
| 5月26日 | リクルートマーケティングパートナーズがコンテンツの改ざんを修正。 |
| 5月26日 21時27分*1 | Buffaloのダウンロードサーバーのファイルが改ざんされる。 |
| 5月27日 2時 | Aimingが臨時メンテナンスを開始。 |
| 5月27日 10時頃 | Buffaloが実行後に中国語が表示されると連絡を受ける。 |
| 5月27日 13時20分 | Buffaloがダウンロードサイトを停止。CDNetworksへ調査を依頼。 |
| 5月27日 23時半 | Aiminguが臨時メンテナンスを終了。経緯とお詫びを掲載。 |
| 5月28日 12時 | GMOペパボが改ざんされたコンテンツを修正。 GMOペパボが同社サービス閲覧時にウィルス対策ソフトが動作すること、原因調査中であることを報告。 |
| 5月28日 20時18分 | GMOペパボが同社サービスの改ざんが原因であることを報告。 |
| 5月28日 23時40分 | GMOペパボが同社サービスで利用している外部サービスへの不正アクセスが原因である可能性を報告。 |
| 5月28日 | CDnetworksがCDNサービスのサーバーにアクセス可能なアカウントパスワードを変更 |
| 5月29日 | CDnetworksが自社PC全台のウィルススキャンを実施。検知がないことを確認。 |
| 5月30日 | CDnetworksが不正侵入をリアルタイムに検知できるシステムを配備 |
| 5月30日 | H.I.Sが同社Webサイトで利用するリクルートマーケティングサービスでコンテンツの改ざんが行われたことを発表。 |
| 5月30日 | リクルートマーケティングパートナーズがコンテンツの改ざんが行われたことを発表。 |
| 5月30日 | Buffaloがダウンロードサーバーを再開。ファイルの改ざんが行われたことを発表。 |
| 6月1日 | CDnetworksが同社サービスを利用する全てのユーザーコンテンツを改ざんがないことを確認し、新規アップロードサーバーへ移行。 |
| 6月2日 | Buffaloがダウンロードサイトのファイル改ざんに関するお詫びと詳細な経緯を発表。 |
| 6月3日 | CDNetworksがセキュリティ侵害によるコンテンツ改ざん発生について発表 |
| 6月3日 | CDNetworksが全ての改ざんファイルの消去を完了 |
| 6月3日 | CDNetworksがアップロードサーバーを操作できるPCを限定。 |
| 6月9日 | Buffaloが改ざんが行われた時間の訂正を発表 |
| 6月9日〜13日 | ラックがCDNetworksの調査結果の評価とセキュリティの現状把握、改善策の立案を実施 |
| 6月11日 | CDNetworksがセキュリティ侵害の調査状況等、続報を発表 |
| 6月27日 | CDNetworksが全てのサービスサーバーのログイン管理を認証サーバー経由の方式に移行 |
| 6月27日 | CDNetworksがワンタイムパスワード認証を含む三要素認証によるログイン方式に変更 |
| 6月27日 | CDNetworksがセキュリティ侵害の調査状況等、最終報を発表 |
導入事例で紹介されている各社の状況
| 導入事例紹介企業 | 導入サービス | 影響有無に関する発表 |
|---|---|---|
| 山佐株式会社 | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| Yatedo Inc. | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| ビムーブ株式会社 | メディア・アクセラレーション | 発表は行われていない模様。 |
| Saxo Bank | ダイナミック・ネットワーク・アクセラレーション | 発表は行われていない模様。 |
| 株式会社朝日新聞社 | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| ヒロセ通商株式会社 | ダイナミック・ウェブ・アクセラレーション | 発表は行われていない模様。 |
| 株式会社ビヨンド | コンテンツ・アクセラレーション | 発表は行われていない模様。 6/8頃 導入事例一覧から削除された。 |
| 株式会社nanapi | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| クックパッド株式会社 | コンテンツ・アクセラレーション | 発表は行われていない模様。 6/5 導入事例一覧から削除された。 |
| 株式会社ファンコミュニケーションズ | コンテンツ・アクセラレーション | 発表は行われていない模様。 6/6 導入事例一覧から削除された。 |
| 株式会社東急ホテルズ | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| ジュピターショップチャンネル株式会社 | メディア・アクセラレーション | 発表は行われていない模様。 |
| 弥生株式会社 | コンテンツ・アクセラレーション | 6/3 発表あり ダウンロードサービスの安全性について |
| 株式会社リコー | コンテンツ・アクセラレーション | 発表は行われていない模様。 |
| 株式会社テレビ朝日 | メディア・アクセラレーション | 発表は行われていない模様。 「期間限定契約」と追記された。 |
| 郵便事業株式会社 | コンテンツ・アクセラレーション | 発表は行われていない模様。 「サービス契約終了」と追記された。 |
- 2014年6月4日 14時半時点の情報。
- 導入事例と紹介されてはいるが、現在もCDNetworksのサービスを利用しているかは不明。
マルウェア「Infostealer.Bankeiya.B」関連
CDNetworksコンテンツ改ざんインシデントまとめ
(1) 被害対象
- CDNサービス「ウェブ・パフォーマンス・スイート」のオプションサービス「コンテンツのアップロードサービス」の一部において発生した。
- ウェブ・パフォーマンス・スイートは複数のサービス群から構成される商品名。
- Aimingは「コンテンツ・アクセラレーション」を利用していた。
「コンテンツアップロードサービス」とは何か?
同社「ウェブ・パフォーマンス・スイート」の「オプションサービス」には「コンテンツのアップロード」についての記述は特に見受けられません。
しかし、CDNetworksの「ウェブ・パフォーマンス・スイート」のサービスの1つ「ダイナミック・ネットワーク・アクセラレーション」の説明において次の図が掲載されています。これを見ると、外部からCDNetworksのCDNのサーバー(エッジサーバーだろうか?)へアップロードする機能が提供されているように読めます。
- 同社「ダイナミック・ネットワーク・アクセラレーション」説明より。
但し、Aimingはじめ事例が紹介されているユーザーの多くは「コンテンツ・アクセラレーション」サービスを利用しているようであり、この「ダイナミックネットワークアクセラレーション」で提供されているようなサービスが「コンテンツアクセラレーション」にも存在するかは不明。プレスには「オプションサービスとして付加的に提供」との記述が存在することから希望したユーザーにのみこのようなアップロード機能を提供していた可能性があります。
| 事業者 | 利用していたサービス |
|---|---|
| GMOペパボ | コンテンツ・アクセラレーション |
| リクルートマーケティングパートナーズ | 不明 |
| Buffalo | 不明 |
| Aiming | コンテンツ・アクセラレーション |
被害を受けたコンテンツ
現在明らかになっている被害は以下の通り。現時点で連絡がされていない顧客は改ざん被害は出ていない。
- 以下のファイルが改ざんされ、マルウェアに感染する可能性があった。
- Buffaloが公開するドライバファイル
- Aiminigが公開するオンラインゲームパッチファイル
改ざん被害後の各社のCDNの状況
| 事業者 | ドメイン | CDNの変遷 |
|---|---|---|
| GMOペパボ | imaging.jugem.jp | CDNetworks → CDNetworks(「コンテンツのアップロードサービスの利用停止」) |
| リクルートマーケティングパートナーズ | cdn.c-team.jp | CDNetworks → Amazon Web Service |
| Buffalo | driver.buffalo.jp | CDNetworks → GoogleDrive → Amazon Web Service |
| Aiming | download.bladechronicle.jp | CDNetworks → CDNetworks(変更なし?) |
(2) 発端
- 不明。
- タイムラインから推測されるにBuffaloの改ざん対応時には把握していたと考えられる。
- 詳細な原因については調査中。
(3) 原因
- CDnetworksは以下が原因であるとの結論に至ったと発表。
- コンテンツアップロードサービス用サーバーに直接ログインされたことによる。
- 改ざんはCDNetworks側に原因がある。(CDNサービス利用者が原因ではない。)
- 外部より社内の端末が侵入され、当該端末を通じてサーバーへ不正侵入された可能性が極めて高い。
- 同社はこれをAPT攻撃によるものであると報告している。
(4) 対応・対策
- 経緯・お詫び文の掲載
- 報道向け、顧客向けにそれぞれ連絡窓口を設置
- 「コンテンツのアップロードサービス」の提供環境をセキュリティ強化が行われたネットワーク、及びプラットフォームへ移設
- 不正侵入検知システムを配備
- CDNサービスのサーバーにログインできるアカウントのパスワード変更
- アップロードサービスを利用するユーザーのコンテンツを新サーバーへ移行。
- CDNサービスのサーバーにログインできるPCを限定。
- CDNサービスのサーバーのログを複数のサーバーへ保存。
- 全ユーザーの改ざん有無の検証
- 外部セキュリティベンダーと連携し、セキュリティ対策ガイドを顧客向けに提供
- 改ざん被害を受けた顧客への連絡
- 技術担当者チームと専用監視システムによる支援
- CDNetworksの調査結果を元にラックによる評価を実施
- ログイン管理をPCI-DSS準拠の認証サーバー経由に移行
- ログイン認証をワンタイムパスワードを含む三要素を用いた認証方式へ変更
謝辞
このまとめは次の方より頂いた情報を元に修正・追記を行っています。ありがとうございます!
@kaito834さん
更新履歴
- 2014/06/03 PM 新規作成
- 2014/06/04 PM 各社利用のサービス名を追記。一部文言の修正。
- 2014/06/04 PM 導入事例に注釈を追記。
- 2014/06/12 PM 続報を反映。
- 2014/07/01 PM 最終報を反映。
- 2014/07/24 AM 誤字を修正。
