　バッファローでは、同社ダウンロードサイト内のファイルの一部が改ざんされた。2014年5月27日の午前6時16分から午後1時までの間に、下記のファイルをダウンロードして実行していた場合、マルウェアに感染した恐れがある。このマルウェアは、オンラインバンクにアクセスした際にIDやパスワードを不正に取得するもので、最悪の場合は不正送金などの被害に遭う恐れがある。


製品名	ファイル名
エアナビゲータ２ライト Ver.1.60	airnavi2_160.exe
エアナビゲータライト Ver.13.30	airnavilite-1330.exe
エアナビゲータ Ver.12.72	airnavi-1272.exe
エアナビゲータ Ver.10.40	airnavi-1040.exe
エアナビゲータ Ver.10.30	airnavi-1030.exe
子機インストールCD Ver.1.60	kokiinst-160.exe
DriveNavigator for HD-CBU2　Ver.1.00	drivenavi_cbu2_100.exe
LinkStationシリーズファームウェアアップデーターVer.1.68	ls_series-168.exe
HP6キャッシュコントロールユーティリティ Ver.1.31	hp6v131.exe
BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ（マウス付属USBアダプター）ドライバーVer.2.1.63.0	bsbt4d09bk_21630.exe

　バッファローがログを解析したところ、これらファイルに対し856回のダウンロードがあったことを確認したという。

　バッファローではこれらのファイルを配布するダウンロードサーバーをCDNetworksに委託していた。CDNetworks内でなぜ改ざんが発生したかの経緯については調査中だ。「自社で運用しているWebサイトについては脆弱性検査などを行っていた」（バッファロー広報）という。

　CDNetworksに一連の経緯と他サービスでの被害状況について確認を求めたところ、「現時点（6月2日時点）では何もお答えできない」とのことだった。CDNetworksの公式サイトにある導入事例には、ブログサービス「JUGEM」の他、弥生やクックパッドといった企業の名前が並んでいる。

他にも発生していた改ざん被害

　国内では他にも、正規のWebサイトの改ざんによるマルウェア感染被害が発生していた恐れがある。

　GMOペパポは2014年5月28日、ブログサービス「JUGEM」や「ロリポプログ」「デイズブログ」などで公式のJavaScriptファイルが改ざんされ、ブログを閲覧した際にマルウェアがダウンロードされる状態が発生していたことを明らかにした。

　同社の告知によると、改ざんが発生していたのは2014年5月24日未明から5月28日12時ごろまで。

http://imaging.jugem.jp/js/jugemlib/viewuser.js
http://imaging.jugem.jp/template/js/cookie.js
http://imaging.jugem.jp/userblogheader/script.js
http://imaging.jugem.jp/ad/jg_ads_init_display.js

という4つのJavaScriptファイルが改ざんされており、ブログを閲覧しただけでマルウェアに感染する恐れがあった。このマルウェアは、バッファローの場合と同様に、Flash Playerの脆弱性を突いてオンラインバンキングを狙うInfostealer.Bankeiya.Bだったという。

　GMOペパポによると、これら公式ファイルは「外部サービスで配信していた」もの。改ざんの原因は、この外部サービスへの不正アクセスだった可能性があるという。

　またエイチ・アイ・エスも2014年5月30日、同社Webサイトに埋め込まれていたJavaScirptが改ざんされ、閲覧しただけでマルウェアに感染する恐れがあったことを公表した。改ざんの期間は2014年5月24日から26日までで、同じくInfostealer.Bankeiya.Bに感染するリスクがあった。

　エイチ・アイ・エスではWebサイトの運営をリクルートマーケティングパートナーズに委託していた。そしてリクルートマーケティングパートナーズはさらに、外部のストレージサーバー（配信サーバー）を利用していた。この「外部のストレージサーバー管理会社における特定パソコン端末経由での不正アクセス」が原因となって、配信サーバー内のJavaScriptが改ざんされたとしている。

　シマンテックが公表した情報によると、GMOペパポ、エイチ・アイ・エス以外に、動画共有サービス「pandora.tv」も侵害を受けたという。

外部サービスのセキュリティ品質をどう担保するか

　一般に大容量の動画配信サービスでは、コンテンツデリバリーネットワーク（CDN）を利用することが多い。それでなくとも最近の複雑化したWebサイトでは、広告などで外部のコンポーネントやJavaScriptなどを呼び出して表示することが珍しくない。

　自社で構築・運用したサイトならば、自ら定期的に脆弱性を検査できる。個別にWebサイト開発／運用を委託するような場合も、受け入れ時／納品時に脆弱性をチェックし、その結果を互いに取り交わすことで、セキュリティ的な品質をある程度担保できる。

　しかし、「外部サービス」の利用についてはどうか。Hashコンサルティング代表の徳丸浩氏によると、「外部サービスの利用時に、顧客（企業）が自ら費用を負担して脆弱性診断する例は少なからずある」という一方で、「顧客が多額の費用を負担して検査をするというのもナンセンスであり、最近ではあまりないようだ」という。

　現実的には、企業がサイト運営の中で外部サービスを採用する際には、

脆弱性診断の結果を要求する
チェックリストに記入してもらう

といった簡易的な検査を実施するか、あるいはベンダーに対する「信頼」に依拠して導入するケースが多いと徳丸氏は述べている。

　なお、エイチ・アイ・エスとリクルートマーケティングパートナーズと外部ストレージサーバー管理会社のケースのように、委託先がさらに外部サービスを利用している場合は、「再委託を禁止するか、あるいは再委託先まで含めてセキュリティも含む品質保証をしてもらう場合が多い」という。

エンドユーザーが実施すべき対策

　シマンテックによると、一連の攻撃では、いわゆる「怪しいサイト」ではなく、企業が公式に運営しているサイトが改ざんされて悪用された。このため、アクセスした時点でエンドユーザーが見抜くことは困難だ。

　ましてや、公式サイトから配布されているドライバーソフトやアップデートファイルが改ざんされた場合、エラー表示やシグネチャに気を配るユーザーがどれだけいるかは疑問だ。

　この攻撃の誘導先で読み込まれるマルウェア「Infostealer.Bankeiya.B」は、Adobe Flash Playerに存在する脆弱性（CVE-2014-0515）を悪用する。この脆弱性に対しアドビは2014年4月にパッチをリリースしている。従ってエンドユーザーが実施すべき対策としては、