このページの本文へ

前へ 1 2 次へ

誤解されがちなウイルス配布事件の真相を探る

ダウンロードファイルが改ざん!バッファローに事故の裏側を聞く

2014年07月11日 11時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

6月2日、バッファローのダウンロードサイトが改ざんされ、無線LAN製品や外付けHDD用のツールにウイルスが仕込まれるという事故が発表された。PC向けのウイルスであるため、ネットワーク機器には感染せず、オンラインバンクでの被害はなかったが、無線LANのトップメーカーであるためにインパクトも大きい。事故の詳細をバッファローの担当者に聞いた。

ダウンロードサイトのファイルを改ざんされる

 今回の事故に関して、バッファロー側で対応にあたったのが、バッファロー戦略情報システム部 情報技術課長 八田益充氏だ。八田氏はダウンロードサイトを委託したCDNetworks Japanとの折衝やファイル改ざん以降の対応を行なっており、事故の概要についてもっとも理解している人物といえる。八田氏は、「お客様にご迷惑をおかけし、大変申し訳ない」と陳謝したのち、事故の概要や原因、事後対策について説明してくれた。

バッファロー 戦略情報システム部 情報技術課長 八田益充氏

 まず事故の概要を説明しておこう。改ざんされたのは、バッファローの製品に関するドライバーやユーティリティなどのファイルをホストしたCDNetworks Japanのサーバー。外部の侵入者がCDNetworks Japanの社内ネットワークのPCに不正侵入し、ダウンロードサイトで配布されるファイルにInfostealer.Bankeiya.Bと呼ばれるウイルスが仕込まれたという。

 改ざんされたファイルは、無線LAN用のユーティリティである「エアナビゲータライト」、外付けHDDやネットワークハードディスクなどのメインのファイル。改ざんされたファイルが公開されたのは、5月26日の21時27分~5月27日13時。上記のファイルをダウンロードし、解凍・実行したユーザーのPCにウイルス感染のおそれがあるという。解凍・実行すると中国語のダイアログが現れるので、この時点で不審を感じ、実行を中止すれば感染は免れる。

ファイルの改ざんとウイルスの実行

 エンドユーザーが対象のファイルをダウンロードし、実行するといわゆるダウンローダー(トロイの木馬)がPCに仕込まれる。そして、このダウンローダーはユーザーの気がつかないうちに、バックドアからウイルスの本体を勝手にダウンロード。そして、PCからオンラインバンクにアクセスする際に、ログイン情報、IDやパスワードがウイルスによって不正に取得される。最悪のケースでは不正送金される可能性があるという。

 現状、該当の時刻では593のIPアドレスから、1046回のダウンロードが行なわれたという。専用窓口の問い合わせ件数も6月4日の約1200件を皮切りに、約3000件の問い合わせがあったが、このうちウイルスへの感染が疑われるのが52件。ただ、現状オンラインバンクのIDとパスワードを詐取・悪用されたという例は報告されていないという(2014年7月11日現在)。

対象はPC。無線LAN製品が感染するわけではない

 感染が疑われる場合は、PCでのオンラインバンクへの接続をやめ、最新版のウイルス対策ソフトで、ウイルス駆除を行なう必要がある。対応のウイルス対策ソフトは、シマンテック、マカフィー、トレンドマイクロ、キヤノンITソリューションズ社(ESET)、ソースネクスト(スーパーセキュリティZERO/クラウドセキュリティZERO/ウイルスセキュリティZERO)、キングソフト、カスペルスキーの各製品。そして、駆除後にはオンラインバンクのログインIDやパスワードを変更する必要がある。

 ユーザーとしてまず理解しておきたいのは、無線LAN機器自体が感染するわけではないこと。一部の新聞で誤解を招くタイトルが散見されるが、ウイルスの感染対象はあくまでPCで、スマートフォンや無線LAN機器ではない。もちろん無線LAN経由でウイルスをばらまくわけでも、バッファローがウイルスを仕込んだわけでもない。イメージ的には、ホームページ改ざんの方が事故の実態に近いようだ。

 また、前述したとおり、PC上で実行した際には、中国語のダイアログが表示されるため、単にダウンロードしただけでは感染しない。実際、この時点で不審に思ったユーザーがバッファロー側に通知したことで、公開後約1日でファイルの改ざんを検知できたという。

 ただ、いったん感染してしまうと、ユーザー側で気づくことはまずない。「Webサイトを改ざんするフィッシング詐欺と異なり、ドメインやダイアログが疑わしいといったこともありません。ユーザーのWebアクセスをプログラムレベルで常時チェックしており、個人情報を詐取します」。そして厄介なのは、ウイルス対策ソフトでもほとんど検出できないという点。「事故が判明した5月27日時点、ウイルスチェックサイトで調べたところ、疑わしいというアラートが出たのは51種類のうち2種類だけでした」(八田)とのことで、事前の検知はかなり厳しかったようだ。

ウイルスに感染したあとは、ユーザーのWebアクセスをプログラムレベルで常時チェックし、オンラインバンクのアカウントを詐取する

(次ページ、感染発覚からサービス再開までを追う)


 

前へ 1 2 次へ

カテゴリートップへ

ピックアップ