ひいろのゲーム帳

かんぱにガールズやコズミックブレイク、艦これ等を中心としたオンラインゲーム関連全般

バッファロー製ルーター用ソフトのウィルス混入原因が特定

   

 バッファローという企業といえばマウスやキーボード、外付けHDD等パソコン用周辺機器を取り扱う企業として昔から有名です。
 そのバッファロー製のルータ用ソフトにウィルスが混入していたというニュースが数日前にありました。

 ウィルスの動きとしては、adobe製flashPlayerの脆弱性を利用してネット銀行のIDやパスワードの取得を行うもののようです。
 flashplayer自体は、2014年4月に当該の脆弱性は、修正してあるらしいので最新のflashplayerを使用していれば一安心みたいです。

 とりあえずバッファローのウィルス騒ぎと言えば当方の感想としては、「またか」でしたけど。

 バッファローといえば外付けHDDにウィルス、USBメモリにウィルスといった具合に毎年のようにどこかしらにウィルスを混入させて販売してしまうというお茶目な企業として認識しています。

 バッファローという企業は、製造業では、なく商社という立ち位置なので実際の製造等は、外部企業への委託やOEMですのでその外部企業の社員が業務用のPCでいかがわしいサイトを見た際にウィルス持ってきてそのPCで配布用ソフト等の配布準備をしてしまうとそのままウィルスが混入されてバッファロー製品が出荷されてしまうという事になるんだと思います。

 添付ソフトは、分かりやすいけど外付けHDDやUSBメモリのようなものには、何でウィルスが入るのか?と疑問に思いますがどうやら初期化、フォーマットやパーティションの設定をする際にウィルスに感染したPCを使用していたからという事みたいです。過去にそんな説明がありました。
 結局委託企業の社員がどれだけ倫理観が高いかにかかっているのかもしれません。高速増殖炉もんじゅの関係者が韓国製動画視聴ソフトをインストールしていてウィルス感染とかなんちゃら省やなんとか県庁の職員用PCにウィルスが・・・とかポピュラーなニュースになってしまっていますのでお役人様レベルでも人の倫理観などそんなものなんだと思います。

 少し前だと「Winny経由で情報流出・・・」とかニュースで良くやっていましたがその現場が県庁とか市区町村役場とかで「お役所の仕事とどんな関係が」・・・と謎に思った事があります。情報流出=Winnyという感じで「この内の幾つかは、原因わからないけど最近話題のWinnyのせいにしておこう♪が混じっているんだろうなぁ」とも思いましたけどね。

 そんな具合で業務用PCで余計な事をする人は、結構多いみたいです。


 今回のバッファローのウィルス混入もまた、以前のような委託業者のPCがウィルス感染していたのかなぁ?と思っていましたがどうやら異なるようです。

 バッファロー製ルーターソフトの配信を委託していた外部企業のCDNetworksという企業のサーバーに脆弱性があった為にサーバーを改竄されてその結果そのサーバーにあったファイルが改竄されてしまったようです。
 委託先のサーバーは、バッファローだけでは、ないのでその他の企業も被害を受けたようで旅行会社のH.I.SとかブログサービスのJUGEMやロリポ等が有名所で被害を受けたようです。その他動画配信サービスのpandora.tvも被害を受けたらしいです。実際他にどんな企業が被害を受けたかは、非公開なので分かりませんがCDNetworksという企業の取引先等を考慮すると結構広範囲かもしれません。
 
 CDNetworks自体は、韓国発祥企業でコンテンツ配信をメインに行う事では、各国の現地法人を作り世界展開を行っていて有名のようです。日本では、KDDI出資のCDNetworksJapanがあります。Webサーバーや動画配信、巨大ファイルの配信等が高速かつ比較的安価に行える事を売りにしているみたいです。巨大なデータ配信にも対応できるホスティングサーバー提供企業と行ったところのようです。

 CDNetworksのWebサイトを見たら他のホスティング系企業のサイトに良くあるように「高セキュリティ」とか書いてあったら揶揄しようかと思いましたが「多くの経験と実績の」や「配信速度と安定性の確保」程度しか書いてなかったので残念です。

 CDNetworksでは、被害が認知されてから数日で現在では、セキュリティを向上した機器ネットワークに移行したので現在の運用は、問題ないという発表をしています。「数日で出来る内容なら最初からしておけばよかったのに」と思うのは、当方だけでしょうか。

 「責任問題になると嫌だから動いているものには、極力触らない」というシステム屋さんの法則があったのかどうか分かりませんが脆弱性関連の話は、最近脆弱性が発見されてから最初の脆弱性を突かれるまでの期間が非常に短期間になっている気がするのでサーバー管理やらネットワーク管理をしている人は、常に最新のパッチなり機器構成なりを意識していないと駄目な気がします。それでも認知されていない脆弱性を突かれたりするわけですし。
 
 「技術や経験がないので外部専門業者に委託したら専門業者も素人でした。」とか3流コントのネタでしょうか。

 まぁ、そんな感じです。

ネタ元参照:
「外部サービス」が原因、公式サイトの改ざん被害相次ぐ
HISやバッファローのウイルス感染は、CDNetworksの改ざん被害が関与

2014/07/08追加:
経緯と対策について詳細がバッファロー担当者から語られています。
バッファローのファイル改竄問題の経緯と実態を追う

 - セキュリティ