特集

バッファローのファイル改竄問題の経緯と実態を追う

〜現時点までに安全対策を完了、具体的被害はゼロに

八田 益充氏

 2014年6月上旬、バッファローのダウンロードサイト内の一部ファイルが改竄されるという問題が発生した。対象となったのは主に無線LANルーター製品のユーティリティ。そのファイルをダウンロードし、実行すると、無線LANルーター自身には影響はないが、PCがウイルスに感染。そのままオンラインバンキングへアクセスすると、IDやパスワードが不正に取得される可能性があることが明らかになった。

 同社によると、これまでに1,046回の改竄ファイルのダウンロードが確認された。だが、対応が早かったことで、現時点でIDやパスワードが不正に取得されたり、不正送金された報告はないようだ。また、一部報道であったように、無線LANルーターがウイルスに感染したり、無線LANルーター経由で他の端末にウイルスが感染すると言うことはない。

 一連の経緯と、それに伴うバッファローの対策について、同社戦略情報システム部情報技術課長八田 益充氏に話を聞いた。

5月27日のファイル改竄発生以降の流れ

ファイル改竄とウイルス感染の経緯。改竄はファイル配信元のCDNetworksのサーバーで発生した

 バッファローでは、約10年前から、ダウンロードサイトのサーバー運用は外部に委託しているが、今年(2014年)5月から、その委託先をCDNetworksへと業務移管。その矢先に起きた出来事だった。

 バッファローの調査によると、5月26日21時27分に、CDNetworksに委託しているダウンロード用のファイルが何者かによって改竄された。翌5月27日10時頃、これをダウンロードしたバッファロー製品ユーザーが、「ソフトウェアを実行したところ、中国語のメッセージが表示される」と同社サポート窓口に連絡したことから発覚した。

 すぐに担当者がファイルの改竄を確認し、同社情報システム部門に連絡した上で、ただちにサービス停止をCDNetworksに指示。5月27日午後1時には、サービスを停止した。

 通常、ソフトウェアを実行した際に表示されるメッセージは日本語であり、同社はすぐにウイルス感染を疑った。改竄の対象となっていたのは10のファイル。全てが自動解凍形式で格納されているファイルばかりだったという。サービス停止以降にも、さらに6種類のファイルが改竄された形跡があったが、それらはすでにダウンロードサービスを停止していたため、外部からのダウンロード実績はなかった。

 同時にCDNetworksを利用する複数企業のファイルが改竄されていた。そのため、バッファローだけを狙った犯行ではないと考えられる。だが、なぜCDNetworksを狙ったのかという点では、はっきりしないところがある。

 改竄発覚から対策完了までの流れは、末尾にまとめてある通り。ファイルの改竄を起こしてしまったことについて、その責任の大部分はファイルを管理していたCDNetworksにある。これについては、CDNetworksも非を認めている。

 その意味では、バッファローは被害者だったと言える。だが、ユーザーの視点からは、バッファローのサイトでファイルをダウンロードしたらウイルスに感染した、ということであり、改竄を許したことについて、同社側にも当然一定の責任がある。この点について、八田氏は「ユーザーの皆様にご迷惑をおかけしたことをお詫びします」とする。だが、発覚後の対策は迅速であり、被害が広がらないよう逐一同社ホームページやFacebookページなどで経過が報告されていたことは評価に値するだろう。

今回のウイルスは、オンラインバンキングアクセス時に、不正に情報を盗み取るものだった

店頭の製品や無線ルーター自体には問題はなし

 今回の件で同社は、25人体制での専用サポート窓口を設置し、月曜日〜日曜日の午前9時30分〜午後7時まで、フリーダイヤル(0120-959-863)で対応。ピークとなった6月4日には約1,200件の入電があり、そのうち9割に回答。これまでに約3,000件の問い合わせに対応した。

 問い合わせの中には、無線LANルーターそのものにウイルスが感染し、それによって接続しているスマートフォンやタブレット、PCにもウイルスが感染してしまうのではないかといった声もあったが、今回のウイルスはあくまでもダウンロードしたPCにのみ感染するものであり、無線LANを通じて、ウイルスが拡散することはない。また、一部報道の見出しにおいて、無線ルーターそのものにウイルスが感染したという表現に受け取れるものがあったが、そういったことも起きない。

 今回、改竄されたファイルは、同社のダウンロードサイトに置かれている一部ファイルである。通常、量販店店頭などで販売されている製品に添付されているソフトウェアとは全く異なるルートで用意されているもので、量販店で販売されている製品にも全く影響はない。

 量販店店頭においては、専用POPを用意して、現在販売している製品については、なんら問題がないことを説明。量販店の店員からも適切な説明が行なえる体制を整えた。製造工程に関しても、全く別のルートで行なっており、製品に改竄されたファイルが入ることはない。

今回の改竄では、主に無線LANルーターのユーティリティが被害に遭ったが、万が一ウイルスを実行しても無線LANルーター自体には影響はない

該当ファイルをダウンロードしたユーザーには直接の告知を完了

 バッファローでは、JPCERTコーディネーションセンターとの共同ログ解析を実施。同一ファイルに対し複数回改竄が行なわれていたことが新たに判明する一方で、ログに残されたファイルのダウンロードサイズを元にさらに解析を進め、593件のIPアドレスからダウンロードがあったことが明らかになった。この593件のIPアドレスのユーザーには、プロバイダを通じて、直接一連の経緯を連絡。6月16日には、593件の全てに対しての告知が完了した。

 今回の件で実際にウイルスに感染したケースは52件あった。これらのユーザーに対しては、ウイルス駆除に関してのサポートを行なった。対応が早かったこともあり、現時点で、オンラインバンキングに関わるIDやパスワードが不正に取得されたり、不正送金された被害はない(7月8日時点)のは不幸中の幸いだ。

 同社では、今後も専用サポート窓口を設置し、引き続きサポートを行ない、具体的被害がゼロとなるように施策を継続していくとしている。

今後に向けた対策は?

 前述の通り、今回のファイル改竄は、サーバー委託先であるCDNetworksにおける攻撃が原因となっている。業務譲渡から約1週間で、今回の一件が発生しており、八田氏は、「一度預けたコンテンツが、正常な形で運用されているかどうかをチェックすることも含めて、バッファローが求めるサービスレベルについての話し合いをすべきであった。その点に甘さがあった」とする。

 これは業界全体に共通していることであるが、委託先に一度コンテンツを預けると、預けたものに関しては、委託側が随時チェックを行ないにくい、いわば預けっぱなしの状況に陥ることが多い。こうした点での改善は、業界全体で取り組んでいくべき課題だと言えそうだ。

 では、この経験をもとに、今後、バッファローでは、どのような対策を施すのだろうか。1つは、オリジン(元ファイル管理)サーバーの管理方法に工夫を凝らし、自らがコントロールしやすい環境へと移行させたという。さらに、オリジンサーバーに対して、配信の都度、ハッシュをチェックすることで、エッジサーバーに改竄されたものが配信されないという環境を構築する。これは、6月25日から正式稼働させた。

 さらに、今後は、委託先との連携によって、サービス品質保証(SLA)の見直しなどについても協議を行なうことで、より安全な環境を確立する考えだ。「今回の件では、多くのユーザーにご心配とご迷惑をおかけしました。少しでも不安があるユーザーは、専用窓口に問い合わせていただければ、正確な情報の提供とともに、誠心誠意サポートさせていただきます。また、店頭で販売している製品については、なんら心配がないこと、無線LANルーターを通じてウイルスが拡散することはない点、すでに安心して利用していただける環境を整えており、今後こうしたことが起こらないように十分な対策を打っている点も、改めてお伝えしたいです」と八田氏は語る。

 こうした問題は、どのメーカーにも起こりうることだ。また、セキュリティの世界に100%安全というのはありえない。だが、今回のバッファローの対策は、委託先に頼り切らない二重の安全策となっており、改竄攻撃を未然に防げるだろう。

ファイル改竄発覚から対策までの流れ(バッファローのサイトより引用)

5月26日
  • 21:27 弊社サーバー委託先CDNetworks社(以下:委託先)にてファイルが改ざんされ、ウイルス感染(後日判明)
5月27日
  • 10:00頃 お客様より弊社サポート窓口宛に、ダウンロードしたソフトウェアを実行したところ中国語のメッセージが表示される旨のご連絡を頂く
  • 12:00頃 サポート窓口担当者によりファイル改ざんを確認。社内の情報システム部門へ連絡
  • 12:20頃 情報システム部門により、ウイルスの疑いを確認。サービスの停止を委託先へ指示
  • 13:00 ダウンロードサイトを停止し、ご案内を弊社ホームページに掲載
  • 13:20 シマンテックへウイルス検体を送付し解析を依頼するとともに、委託先へ調査依頼。通信ログの確認により、委託先サーバーの感染を確認。
5月28日
  • 9:30 シマンテックにてRapidRelase版パターンファイルで検出できることを確認
  • 12:30 シマンテックより解析情報の回答あり。ただし、この時点では、ウイルス本体をダウンロードするウイルスであるとの回答であったため、さらにダウンロードされるウイルス本体の動作について再調査を依頼。
  • 13:00 サービス復旧のため、全データのウイルスチェックを開始するとともに、別事業者のサーバへの移管を開始
  • 21:00 ダウンロードされたログの解析を完了。856回のダウンロードがあったことを確認。
5月29日
  • シマンテックより、このウイルスによってさらにダウンロードされるウイルス本体がオンラインバンキングの情報を不正取得するものであるとの回答を受ける。弊社よりお問い合わせいただいたユーザー様へ個別にご連絡。
5月30日
  • 15:00 別事業者サーバーへの移管を完了。サービスを再開。
  • 19:00 弊社ホームページにてウイルス混入の件につき、お知らせとお詫びを掲載
5月31日
  • 15:00 お客様よりサポートセンター宛にファイルがダウンロードできない旨の連絡を頂く。
  • 17:00 サービス障害を確認し、更に別の事業者への振り替えを実施。
  • 22:30 ダウンロードサイトの移管が完了したことを確認し、サービスを正式に再開。

改竄された10種類のファイル名

<無線LAN製品>
  • エアナビゲータ2ライト Ver.1.60(ファイル名:airnavi2_160.exe)
  • エアナビゲータライト Ver.13.30(ファイル名:airnavilite-1330.exe)
  • エアナビゲータ Ver.12.72(ファイル名:airnavi-1272.exe)
  • エアナビゲータ Ver.10.40(ファイル名:airnavi-1040.exe)
  • エアナビゲータ Ver.10.30(ファイル名:airnavi-1030.exe)
  • 子機インストールCD Ver.1.60(ファイル名:kokiinst-160.exe)
<外付ハードディスク製品>
  • DriveNavigator for HD-CBU2 Ver.1.00(ファイル名:drivenavi_cbu2_100.exe)
<ネットワークハードディスク(NAS)製品>
  • LinkStationシリーズ ファームウェア アップデーターVer.1.68(ファイル名:ls_series-168.exe)
  • HP6キャッシュ コントロール ユーティリティ Ver.1.31(ファイル名:hp6v131.exe)
<マウス付属Bluetoothアダプタ製品>
  • BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ
  • (マウス付属USBアダプタ)ドライバーVer.2.1.63.0(ファイル名:bsbt4d09bk_21630.exe)

(大河原 克行 / 若杉 紀彦)