ニュース

バッファロー、配布ファイルの一部が不正改ざん、ウイルス感染の恐れ

 株式会社バッファローは2日、オンラインで配布していた同社製品のユーティリティやドライバーなどの一部ファイルが改ざんされていた件について、詳細な情報を公表した。該当するファイルをダウンロードしてインストールした場合、オンラインバンキングの利用者を狙うウイルスに感染した恐れがあるとして、ユーザーに対処を呼び掛けている。

 改ざんファイルがダウンロードされた可能性があるのは、5月27日の6時16分~13時。改ざんされていたファイルは以下の通り。

<無線LAN製品>
・エアナビゲータ2ライト Ver.1.60(ファイル名:airnavi2_160.exe)
・エアナビゲータライト Ver.13.30(ファイル名:airnavilite-1330.exe)
・エアナビゲータ Ver.12.72(ファイル名:airnavi-1272.exe)
・エアナビゲータ Ver.10.40(ファイル名:airnavi-1040.exe)
・エアナビゲータ Ver.10.30(ファイル名:airnavi-1030.exe)
・子機インストールCD Ver.1.60 (ファイル名:kokiinst-160.exe)

<外付ハードディスク製品>
・DriveNavigator for HD-CBU2 Ver.1.00 (ファイル名:drivenavi_cbu2_100.exe)

<ネットワークハードディスク(NAS)製品>
・LinkStationシリーズ ファームウェア アップデーターVer.1.68(ファイル名:ls_series-168.exe)

<CPUアクセラレータ製品>
・HP6キャッシュ コントロール ユーティリティ Ver.1.31(ファイル名:hp6v131.exe)

<マウス付属Bluetoothアダプタ製品>
・BSBT4D09BK・BSBT4PT02SBK・BSMBB09DSシリーズ(マウス付属USBアダプター)ドライバーVer.2.1.63.0(ファイル名:bsbt4d09bk_21630.exe)

 感染するウイルスは、「Infostealer.Bankeiya.B」と呼ばれるもので、オンラインバンキングにアクセスすると、ログイン情報やID、パスワードなどが不正に取得され、最悪の場合、不正送金される恐れがある。

 バッファローでは、感染の可能性のあるPCではオンラインバンキングへの接続を行わないことや、最新版のウイルス対策ソフトを実行し、ウイルスの駆除を行うこと、ウイルスの駆除後にオンラインバンキングのパスワードを変更することを呼び掛けている。確認しているウイルス対策ソフトのメーカーとしてはシマンテックとマカフィーを挙げており、これらのウイルス対策ソフトを持っていない場合や、対処方法が不明な場合にはフリーダイヤルによる専用窓口まで連絡してほしいとしている。

サーバー委託先のCDNetworksでファイル改ざん、ウイルスに感染

 バッファローによると、ダウンロードサーバー委託先のCDNetworksにてファイルが改ざんされ、ウイルス感染が発生したとのことで、経緯については調査中だという。

 5月27日10時ごろに、ダウンロードしたファイルを実行したところ、中国語のメッセージが表示されるという連絡がユーザーからサポート窓口宛にあり、ファイル改ざんを確認。サービスの停止を委託先に指示し、13時にダウンロードサイトを停止し、案内をサイトに掲載した。

 シマンテックに検体を送付して解析を依頼したところ、ダウンロードされるウイルス本体はオンラインバンキングの情報を不正取得するものであることが判明。ログの解析からは、計856回のダウンロードがあったことを確認したという。

 バッファローでは、全データのウイルス確認を開始するとともに、別事業者のサーバーへの移管を開始。5月31日22時30分にサービスを正式に再開している。

日本のオンラインバンキングを狙う「Infostealer.Bankeiya」、被害が頻発

 今回感染が確認されたマルウェア「Infostealer.Bankeiya」は、日本のオンラインバンキングに特有の機密情報を監視して盗み取る点が特徴で、5月にはブログサービスの「JUGEM」、旅行会社のエイチ・アイ・エス(H.I.S.)、動画サイト「PANDORA.TV」などでも、同じマルウェアを感染させようとする攻撃が確認されている。

 シマンテックによると、Infostealer.Bankeiyaは2月にInternet Explorerの脆弱性を悪用する攻撃で確認されており、5月のJUGEMやH.I.S.の改ざんではFlash Playerの脆弱性を悪用して、閲覧したユーザーに感染させようとしている。

 一方、今回のバッファローへの攻撃では脆弱性の悪用ではなく、配布しているインストーラーを改ざんするという方法で感染の拡大を図っている。

 インストーラーの改ざん方法は2通りあり、1つ目の方法では自己解凍形式のRARファイル「setup.exe」が、インストール処理中に悪質な.dllファイルを実行するように改ざんされていた。この.dllファイルは別の.dllファイルを投下するトロイの木馬であり、投下される.dllファイルがInfostealer.Bankeiya.Bをダウンロードしてインストールする。ファイルが改ざんされたため、デジタル署名証明書は破損しているるという。

改ざんされたファイルのデジタル署名証明書は破損している

 もう1つの方法では、バッファローのインストーラーを含んだInfostealr.Bankeiya.Bが、正規のインストーラーであるかのように偽装されている。このため、インストーラーを実行すると、正規のドライバー用のsetup.exeファイルとともにトロイの木馬のコンポーネントも投下され、このコンポーネントが悪質な.dllファイルを投下し、それによってInfostealer.Bankeiya.Bのメインコンポーネントがダウンロードされる。侵害されたインストーラーを実行すると、中国語のWinRARユーザーインターフェイスが表示されるという。

侵害されたインストーラーを実行すると表示される中国語のWinRARインターフェイス

(三柳 英樹)