6月2日、バッファローのダウンロードサイトが改ざんされ、無線LAN製品や外付けHDD用のツールにウイルスが仕込まれるという事故が発表された。PC向けのウイルスであるため、ネットワーク機器には感染せず、オンラインバンクでの被害はなかったが、無線LANのトップメーカーであるためにインパクトも大きい。事故の詳細をバッファローの担当者に聞いた。
ダウンロードサイトのファイルを改ざんされる
今回の事故に関して、バッファロー側で対応にあたったのが、バッファロー戦略情報システム部 情報技術課長 八田益充氏だ。八田氏はダウンロードサイトを委託したCDNetworks Japanとの折衝やファイル改ざん以降の対応を行なっており、事故の概要についてもっとも理解している人物といえる。八田氏は、「お客様にご迷惑をおかけし、大変申し訳ない」と陳謝したのち、事故の概要や原因、事後対策について説明してくれた。
バッファロー 戦略情報システム部 情報技術課長 八田益充氏
まず事故の概要を説明しておこう。改ざんされたのは、バッファローの製品に関するドライバーやユーティリティなどのファイルをホストしたCDNetworks Japanのサーバー。外部の侵入者がCDNetworks Japanの社内ネットワークのPCに不正侵入し、ダウンロードサイトで配布されるファイルにInfostealer.Bankeiya.Bと呼ばれるウイルスが仕込まれたという。
改ざんされたファイルは、無線LAN用のユーティリティである「エアナビゲータライト」、外付けHDDやネットワークハードディスクなどのメインのファイル。改ざんされたファイルが公開されたのは、5月26日の21時27分~5月27日13時。上記のファイルをダウンロードし、解凍・実行したユーザーのPCにウイルス感染のおそれがあるという。解凍・実行すると中国語のダイアログが現れるので、この時点で不審を感じ、実行を中止すれば感染は免れる。
ファイルの改ざんとウイルスの実行
エンドユーザーが対象のファイルをダウンロードし、実行するといわゆるダウンローダー(トロイの木馬)がPCに仕込まれる。そして、このダウンローダーはユーザーの気がつかないうちに、バックドアからウイルスの本体を勝手にダウンロード。そして、PCからオンラインバンクにアクセスする際に、ログイン情報、IDやパスワードがウイルスによって不正に取得される。最悪のケースでは不正送金される可能性があるという。
現状、該当の時刻では593のIPアドレスから、1046回のダウンロードが行なわれたという。専用窓口の問い合わせ件数も6月4日の約1200件を皮切りに、約3000件の問い合わせがあったが、このうちウイルスへの感染が疑われるのが52件。ただ、現状オンラインバンクのIDとパスワードを詐取・悪用されたという例は報告されていないという(2014年7月11日現在)。
対象はPC。無線LAN製品が感染するわけではない
感染が疑われる場合は、PCでのオンラインバンクへの接続をやめ、最新版のウイルス対策ソフトで、ウイルス駆除を行なう必要がある。対応のウイルス対策ソフトは、シマンテック、マカフィー、トレンドマイクロ、キヤノンITソリューションズ社(ESET)、ソースネクスト(スーパーセキュリティZERO/クラウドセキュリティZERO/ウイルスセキュリティZERO)、キングソフト、カスペルスキーの各製品。そして、駆除後にはオンラインバンクのログインIDやパスワードを変更する必要がある。
ユーザーとしてまず理解しておきたいのは、無線LAN機器自体が感染するわけではないこと。一部の新聞で誤解を招くタイトルが散見されるが、ウイルスの感染対象はあくまでPCで、スマートフォンや無線LAN機器ではない。もちろん無線LAN経由でウイルスをばらまくわけでも、バッファローがウイルスを仕込んだわけでもない。イメージ的には、ホームページ改ざんの方が事故の実態に近いようだ。
また、前述したとおり、PC上で実行した際には、中国語のダイアログが表示されるため、単にダウンロードしただけでは感染しない。実際、この時点で不審に思ったユーザーがバッファロー側に通知したことで、公開後約1日でファイルの改ざんを検知できたという。
ただ、いったん感染してしまうと、ユーザー側で気づくことはまずない。「Webサイトを改ざんするフィッシング詐欺と異なり、ドメインやダイアログが疑わしいといったこともありません。ユーザーのWebアクセスをプログラムレベルで常時チェックしており、個人情報を詐取します」。そして厄介なのは、ウイルス対策ソフトでもほとんど検出できないという点。「事故が判明した5月27日時点、ウイルスチェックサイトで調べたところ、疑わしいというアラートが出たのは51種類のうち2種類だけでした」(八田)とのことで、事前の検知はかなり厳しかったようだ。
ウイルスに感染したあとは、ユーザーのWebアクセスをプログラムレベルで常時チェックし、オンラインバンクのアカウントを詐取する
(次ページ、感染発覚からサービス再開までを追う)
