Aimingは自社オンラインゲーム「Blade Chronicle」のパッチサーバーが不正アクセスを受け、クライアントソフトがマルウェアにすり替えられ、ユーザーのPCにダウンロードされる事象が発生していたことを発表しました。ここではその関連情報をまとめます。
関連記事
次々明らかになるマルウェア「Infostealer.Bankeiya.B」感染インシデント
無題な濃いログ見ていたらJUGEMなど、ここ最近の改ざんインシデントが分かりやすくまとめられていました。
この内、「Blade Chronicle(ブレイドクロニクル)」は把握していなかったので少しだけ調べてみました。
ダウンロードサーバーはCDNetworksのIPアドレス
クライアントソフトウェアとすり替えられる形でマルウェアが設置されていたのはパッチサーバーとあったので、ダウンロードURLを調べてみたところ、「download.bladechronicle.jp」が使用されていました。
このIPアドレスを調べてみると14.0.33.141や14.0.42.151等、「14.0.32.0〜14.0.63.255」のいずれかのアドレスが返ってきます。関連性は未だ不明ながらここもCDNetworksを利用していたようです。
ここまでの他インシデントとの状況まとめ
Infostealer.Bankeiya.Bへ感染する改ざんが行われたWebサイトを私はこれまで5つを確認していますが、内4つはCDNetworksのサーバーでした。またどこも発表では外部サービスへの不正アクセスが原因であることを匂わせる記載をしています。但し、「外部サービス」「ストレージサーバー管理会社」、これがCDNetworksのことかどうかはまだ明らかとなっていません。
| 改ざん被害を受けたWebサイト | 被害発生時期 | ドメイン | サーバー | 各社発表の不正アクセス事由 | |
|---|---|---|---|---|---|
| 1 | JUGEM | 5月24日未明 | imaging.jugem.jp | CDNetworks | JUGEMが利用している外部サービスへの不正アクセスが原因であった可能性 |
| 2 | Aiming | 5月26日14時半以前 | download.bladechronicle.jp | CDNetworks | ゲームサーバーを対象とした悪意のある外部の第三者から不正な接続のため |
| 3 | HIS(リクルートマーケティングパートナーズ) | 5月26日18時頃 | cdn.c-team.jp | CDNetworks | 外部のストレージサーバー管理会社における特定パソコン端末経由での不正アクセスにより、改ざんが行われたため |
| 4 | Buffalo | 5月27日 6時頃 | driver.buffalo.jp | CDNetworks | 委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていたため |
| 5 | pandoratv | 不明 | pandora.tv | LG DACOM KIDC | 不明 |
インシデント概要
Aimingが発表している内容は次の通り。
- 既知の不具合に関しまして【5/26 23:29更新】(魚拓)
- 【重要】(5/29更新) 不具合の経緯およびお客様へのお願い(魚拓)
- バッファローダウンロードサイトのウイルス混入によるお詫びとご報告(魚拓) 経緯(魚拓)
2ちゃんねるを見てもメンテ終了後にアップロードをしようと「」をダウンロードした、起動させたユーザーがマルウェアを検知したとの書き込みが確認できます。
(1) 被害対象
(2) 発端
- クライアントソフト更新中にウィルス対策ソフトが検知をしたことによる。
- 検知した「BladeChronicle.exe」のファイルサイズは966,656byte
(4) 対応・対策
- パッチサーバーの緊急メンテナンス
- お詫び文の掲載
- 手動でのマルウェア除去手順の案内
- アイテムの配布
- ゲーム内キャンペーンの延長
(5) インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2014年5月26日 14時30分 | クライアントソフトウェア更新中のユーザーからマルウェアを検知したとの声が出る |
| 2014年5月27日 2時 | Aimingが臨時メンテナンスを開始 |
| 2014年5月27日 23:30時 | Aimingが臨時メンテナンスを終了 |
| 2014年5月28日頃 | Aimingが不具合発生原因がマルウェアによるものであることを発表。 |
更新履歴
- 2014/05/31 PM 新規作成
