piyolog

不正アクセスを受けマルウェアを配布していたBuffaloダウンロードサイトのホスティング元を調べてみた。

インシデントまとめ | 04:11 |

バッファローが自社ドライバダウンロードサイトが不正アクセスを受け、ドライバではなくマルウェアを配布していたことを発表しました。配布されていたマルウェアはJUGEMやHISで話題となっているInfostealer.Bankeiya.Bに関連するようです。

JUGEMについてはこちらにまとめています。

• JUGEMブログの改ざんについてまとめてみた

ここではバッファローへの不正アクセスとその他情報について調べたことをまとめます。

「弊社委託のダウンロードサーバー」はCDNetworksなのか？

バッファローのお詫び掲載文は次の通り。

この度は弊社ダウンロードサーバーの休止で多大なご迷惑をお掛けしました事、深くお詫び申し上げます。

調査の結果、弊社委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていた事が判明しました。

改ざんされたファイルをダウンロードし実行されたお客様のパソコンはウィルスに感染している可能性がございます。

早急にウィルスパターンファイルを最新にしていただきウィルスチェックをお願いいたします。

本件に関するお問い合わせは下記、専用窓口へお願いたします。

http://buffalo.jp/support_s/20140530.html

この発表が出る前からTwitter上で以下の様なつぶやきをしている方がいたため気になっていました。

3日間メンテナンス中のバッファローのdiriverサイトもCDNetworksだけど関係あるのかしら？ JUGEMブログの改ざんについてまとめてみた - piyolog http://t.co/M9FVxApFl2

— ゆこたん (@yukotan) 2014, 5月 29

そこで「弊社委託のダウンロードサーバー」が本当にCDNetworksなのか気になったので調べてみました。

Google Driveへの引っ越し

緊急メンテ中にダウンロード先の切り替えがGoogleDriveへ変更されたようで元々が何だったのかが既にわからない状況です。

buffaloのファームウェアとか、説明書とかが緊急メンテという名目でダウンロードできなくなってるけど、なんかGoogleDriveにURL変更中みたいですね。ここからになるみたいなので、DLできない人は探してみては http://t.co/ct0Zxqkdqb #buffalo

— AresClares@でゅらんだる (@AresClares) 2014, 5月 29

キャッシュからURLを探してみる

まずは改ざんを受けたとされるファイルを順次検索して、キャッシュが残っていないか確認しました。中々いい感じのキャッシュが見つからなかったのですが、「bsbt4d09bk_21630.exe」のダウンロード画面のキャッシュを確認したところURLが次の様に変化していることが分かりました。

• bsbt4d09bk_21630.exeのダウンロードURL

確認時点	URL
5月30日時点	http://driver.buffalo.jp/buf-drv/secure/supply2/bsbt4d09bk_21630.exe
現在	http://googledrive.com/host/0B2ww0iEqoCZIcTlfSlduT3VzaGM/secure/supply2/bsbt4d09bk_21630.exe

このことから元のドメインは「driver.buffalo.jp」であったことが分かりました。

「site:driver.buffalo.jp」で検索するとドライバのダウンロードページが沢山出てきました。間違いはなさそうです。

ホスティング元の特定

リンクをクリックしてみましたが軒並み403ページが返ってきてしまいます。一応どこのサーバーにあるのか調べてみると何故かMicrosoftのサーバーが指定されていました。暫定処置なのでしょうか。

変更前のIPアドレスが知りたかったのでもう少し検索してみました。Virustotalで次のIPアドレスが見つかりました。CDNetworksのIPは「14.0.32.0 - 14.0.63.255」のため、少なくとも記録が残っている5月はCDNetworksのIPアドレスです。

というわけで、「弊社委託のダウンロードサーバー」はCDNetworksだったようです。

ちなみにこの「driver.buffalo.jp」の他、次のドメインも恐らくCDNetworksのサーバーだったのではないかと思われます。

driver.asia.buffalo.jp

driver.buffalo-kokuyo.jp

driver.opensource.baffalo.jp ← スペルミス?

driver.opensource.buffalo.jp

インシデント概要

バッファローが発表していた掲載文は以下の通り。

• バッファローダウンロードサイト緊急メンテナンスのお知らせ(魚拓)
• ダウンロードサーバーのお知らせとお詫び(魚拓)

(1) 被害対象

• バッファローで配布していた以下ドライバーファイルが改ざんされていた。

製品名	改ざんされたファイル名
エアナビゲータ２ライト Ver.1.60	airnavi2_160.exe
エアナビゲータライト Ver.13.30	airnavilite-1330.exe
エアナビゲータ Ver.12.72	airnavi-1272.exe
エアナビゲータ Ver.10.40	airnavi-1040.exe
エアナビゲータ Ver.10.30	airnavi-1030.exe
子機インストールCD Ver.1.50	kokiinst-160.exe
DriveNavigator for HD-CBU2　Ver.1.00	drivenavi_cbu2_100.exe
LinkStationシリーズ ファームウェア アップデーターVer.1.68	ls_series-168.exe
HP6キャッシュ コントロール ユーティリティ Ver.1.31	hp6v131.exe
BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ （マウス付属USBアダプター）ドライバーVer.2.1.63.0	bsbt4d09bk_21630.exe

• 実行することでマルウェアに感染する可能性があった。
  • @JojiHamadaさんによればこのマルウェアはInfostealer.Bankeiya.B

バッファロー ダウンロードサーバー内の一部のファイルが不正に改ざんされていた。これもまたInfostealer.Bankeiya.B http://t.co/MASEbVhO2R

— . (@JojiHamada) 2014, 5月 30

(2) 発端

• 不明。

(3) 原因

• Buffalo委託のダウンロードサーバーが不正アクセスを受けたため。
  • ドライバファイルがマルウェアへ改ざんされた。

(4) 対応・対策

• 緊急メンテナンスの実施(5月27日〜5月30日)
• お詫び文の掲載
• 改ざんされたファイルの復旧
• 配布元サーバーの切替

(5) インシデントライムライン

日時	出来事
2014年5月27日 6時	バッファローのドライバファイルが改ざんされ、ダウンロードされ始める
2014年5月27日 13時	バッファローが緊急メンテに入り、ダウンロードを停止する。
2014年5月30日頃	バッファローがダウンロードサーバーの切り替え作業を行う。
2014年5月30日夕方	バッファローが不正アクセスを受けマルウェアを拝復していたことを発表。

更新履歴

• 2014/05/31 AM 新規作成

ツイートする