コンテンツ配信サービスCDNetworksで配信しているコンテンツの改ざんが確認される 52
ストーリー by hylom
コンテンツ配信サービスを使う際はご注意を 部門より
コンテンツ配信サービスを使う際はご注意を 部門より
chuukai 曰く、
先日、バッファローが提供しているダウンロードサーバー内のファイルが一部改ざんされる事件があったが、その後バッファローがウイルス混入の経緯を公表した。それによると、サーバーの委託先であるCDNetworks社にてファイルが改ざんされウイルスに感染したという。
なお、5月30日付けのプレスリリースによると、CDNetworksは(DDoS攻撃回避サービスにより)セキュリティ対策市場へ参入したそうだ。なんとも皮肉な話である。
CDNetworks社は6月3日付けで同社サービスの一部においてセキュリティ侵害が発生していたことを発表している。日経ITproによると、CDNetworks社のサービスを利用していたHISやブログサービス「JUGEM」なども影響を受けた模様(日経ITproの別記事、Security NEXT)。攻撃手法についての詳細や影響のあった顧客などについては公表されていない。
Anonymous FTPサーバー (スコア:5, 興味深い)
昨年の話ですが、CDNetworksのコンテンツのアップロードサービスに使われていると推測されるサーバーがAnonymous FTPサーバーになっていて、サーバー内のおそらくはほとんど全てのファイルとディレクトリが閲覧できるようになっていました。
詳しいことは不正アクセスを助長しそうなので言えません。
不正アクセス禁止法違反で警察が来そうですが、IDでいいや。
Re:Anonymous FTPサーバー (スコア:3, 興味深い)
FFFTPという素人が利用するとは考えられないソフトウエアを使って閲覧した結果、顧客がアップロードしたと思われるコンテンツがダウンロードし放題になっていました。
セキュリティが甘いCDNにコンテンツ(知的財産)を任せることは、顧客自身の損害になります。
Re:Anonymous FTPサーバー (スコア:1)
なぜCDNetworksのコンテンツのアップロードサービスに使われている(と推測される)サーバーがAnonymous FTPサーバーとなったのか。
以下、推測です。
コンテンツのアップロードサービスを行うにあたって、CDNetworks内では標準的な構成であるサーバーではFTP機能が有効になっていたのでそれを流用し、外部(顧客側)からサーバーのFTPサービスへのアクセスルートを作った。
その時に十分なアクセス制限を行うべきだったにもかかわらず、passwdにftp:x:14:50:FTP User:/data/ftp:/sbin/nologinと書いてしまった(書いたことに気が付かなかった)。
Re: (スコア:0)
関係ないですけど脆弱性やらなんやらでケチが付いたFFFTPを玄人は使わない気がします。
Re: (スコア:0)
ApacheやBINDなんか使ってるのもド素人なんですね。
Re: (スコア:0)
ApacheはともかくBINDはド素人認定したい
Re: (スコア:0)
あれ?今ルートサーバってBINDなくなったの?anycast化でいっぱいルートができてから、どうなったのかよくわからないけど、昔はBINDとNSDだったような。
http://en.wikipedia.org/wiki/Root_name_server [wikipedia.org]
Re: (スコア:0)
ゾーンサーバとフルリゾルバサービスを同一プロセスで動かしていたらど素人認定でもいいと思う
同一ホストであるかどうかはまあ置いておく
Re: (スコア:0)
俺素人じゃなかった!今知った。
Re:Anonymous FTPサーバー (スコア:4, おもしろおかしい)
いろいろ台無しかも知れませんが、元ネタは遠隔操作ウイルスの作成に使われたのは「素人が購入することは考えにくい専門的なソフト」だった [srad.jp]ですよね。フリーソフトだから「購入」とは書けませんが、他はなるべく揃えた方が誤解を招かないと思います。
はっ、もしかして今どき「Anonymous FTPサーバー」なんていうと、へんなお面をかぶった人達の拠点だとか思われるんじゃなかろうか。
Jubilee
Re: (スコア:0)
> へんなお面をかぶった人達の拠点
/.の悪口はやめてください!
Re:Anonymous FTPサーバー (スコア:1)
か、かぶってないぞ!(過剰反応)
Re:Anonymous FTPサーバー (スコア:1)
かぶってるのは「お面」じゃないものな。w
Re: (スコア:0)
でも結果的に犯人だったなら「過程や…! 方法なぞ…! どうでもよいのだァーッ!」となるんだろーなー(大殺界)。
2度感染 (スコア:5, おもしろおかしい)
HISのサイトを閲覧してウイルス感染
↓
OS再インストール
↓
無線LANドライバ再インストールでウイルス感染
実話です。
Re:2度感染 (スコア:1)
おもおかじゃないでしょこれ…
Re:2度感染 (スコア:1)
被害を極限まで小さく見せようとする、こんな会社のサービスは使いたくないわ。
Re: (スコア:0)
それは酷い。
CDNetworksに損害賠償請求できますよ。
Re: (スコア:0)
アンチウイルスソフト仕事しろよ
なんでkr?と思ったら (スコア:3, すばらしい洞察)
まとめサイトのスクリーンショットみたらKRの文字があって、なんでわざわざと思ったらもともと韓国の企業だったんですね。
特にだからなにってことはないんですけど、企業風土ってあるのかな?
Re:なんでkr?と思ったら (スコア:1)
企業風土というか国家的な風土なんでしょうね。
最近のフェリー沈没騒ぎとか見てるとわかりますよ。
Re: (スコア:0)
バッファローは台湾企業と言って良いぐらいなのに・・・
なぜkr使う・・・
NECに買い換えるか・・・
Re: (スコア:0)
元々は韓国発祥だけど、日本法人はKDDI系じゃなかったかな。
KDDIはISPでも有るから負荷削減に利くのだろうなと思って居た。
けど、まさかとは思うが、auのスマホの更新とかには使ってない、よね?
私が業務でCDNを使う理由は (スコア:2, 参考になる)
・上でも書かれている「ユーザー体験」の向上
・ユーザーにより近いところからコンテンツを配信できる
・Akamaiのような「分散型」とCDNetworksやLimeLight,CloudFrontのような「集中型」では若干違いはあるけど
・インフラ費用の削減、効率化
・一般的に、ユーザーからのリクエストをさばけるだけのサーバやストレージを買って、
データセンターにラックを借りて、インターネット回線を引くコストよりも
CDNを使った方が総コストは安い
・私が今使っているところは、インターネット回線のMbps単価だけ見ても、CDNはデータセンターの半額以下
・ピークトラフィックに合わせた自社設備を用意すると、普段は使われない「余剰能力」が大きくなる。
CDNを使えば、「使った分だけ」の支払いですむので、無駄が少ない。
(配信データ量課金や、利用帯域の95パーセンタイル課金など)
Re:私が業務でCDNを使う理由は (スコア:1)
torrentじゃだめなんですか?
日本ではWinnyやCabosのせいでP2Pのイメージはひどく悪いですが、海外では例えばLibre Officeは配布にtorrentも使ってますよね。
Jubilee
Re:私が業務でCDNを使う理由は (スコア:2)
そういや4.2.4入れてないなとtorrentでのダウンロードを試みるためにFinalTorrent入れてみましたが…。
だめだこりゃ。RegCleanProやらHao123やらその他絶対ほしくないものを突っ込もうとしやがった。拒否はできましたけど、人には勧められませんね。
Jubilee
Re:私が業務でCDNを使う理由は (スコア:1)
uTorrentなんてろくすっぽ読まずにインストールすると
たちの悪いアドウェアを仕込んでくる。
利用者のデスクトップを狙った有象無象が跋扈するような
配信プラットフォームを素人に使わせたら大騒ぎになりますよ。
Re:私が業務でCDNを使う理由は (スコア:1)
ですよねぇ。試してよく分かりました。
かつてあるマザーボードメーカーがP2Pでドライバ配布していて、専用クライアントインストールの面倒臭さにやってませんでしたが、今では本家サイトからの直接ダウンロードだけになっていました。
Jubilee
Re: (スコア:0)
P2Pはユーザーの善意に期待する必要があるので難しいのでは?
まず近くに配信しているユーザーがいないといけないし最低品質の見積も難しいし。
Re: (スコア:0)
CentOSのISOイメージ配布とかだったら、torrentという選択肢もありかなと思いますが、
普通のwebサイトや、バッファローのダウンロードサイトのように
利用者の障壁を下げる必要があるような場所では
ハードル高いですね。
基本的にはサイトの静的コンテンツ配信用です。
js/css/画像/動画など
Re: (スコア:0)
海外はどうあれ、日本でtorrentとか使ったら当局に目を付けられそうで恐いな。
Re:私が業務でCDNを使う理由は (スコア:1)
うちの会社(米国系)はtorrentのクライアントインストールできないよう制限かかってますね。
かなり制限のゆるい会社なのですが…。
Re: (スコア:0)
本社がどうなのか、ちょっと気になったり。
Re: (スコア:0)
torrentだと、下手するとマルウェア入りを掴まされたりするからなぁ。
ユーザーがちゃんと公式サイトで配布してるtorrentファイルやDL済みファイルのハッシュ値を確認すればいいけど、そんなリテラシー高い人ばかりじゃないし、そもそもtorrentクライアントの導入さえ厳しい人もいる。
LibreOfficeなんて、ある程度ネットの知識ないと知らないものだし、torrent以外の配布方法もあるからなぁ。
Re:私が業務でCDNを使う理由は (スコア:1)
結論から言うと、やっぱりtorrentはダメだと判断しました。
FinalTorrentで入手したLibreOfficeのインストーラーには、Kawagasoftのデジタル署名がついてました…。
FinalTorrent自体がろくなもんじゃなくてインストール時に変なものを突っ込もうとして来るのは前に書いたとおりですし、入手したバイナリを実行する前にデジタル署名やハッシュを確認する方法がないという。マシなクライアントもあるんでしょうが、やる気が失せました。
ちなみに職場のネットワークではtorrentのトラフィックは遮断されてます。
Jubilee
そもそも (スコア:1)
機器のドライバやマニュアル程度のデータ量では、
CDNを使うほどのトラフィックは流れないと思うんだけどなぁ....
あとは、データ書き換えに必要な権限の管理と認証がどうなっていたかが気になるところですね。
Re:そもそも (スコア:1)
見積もりが甘いと思うよ。
仮に、100Mbpsの回線で100人同時にダウンロードしたら、一人あたり1Mbpsです。
1Mbpsで速いとと思いますか?今時、携帯でも出る速度です。
国内トップクラスのPC周辺機器メーカーですので、決して間違った選択肢ではないですよ。
自前で回線とサーバーをもつメリットもあまりないですからね。
配信は配信屋さんに任せるのが安心。のはずだったんですがね。
Re:そもそも (スコア:1)
ドライバファイルが数百MByteあるのなら困りますけど、
数百kByteなら回線が細くても問題ないと思いますよ。
Re:そもそも (スコア:5, 参考になる)
感染していたエアナビゲータライトは117MB、エアナビゲータ2ライトは105MBでしたよ。
どこぞのプリンタドライバーは数百メガバイトでため息が出たわ。
Re:そもそも (スコア:1)
ああ。そこだ。
元の人は「機器のドライバやマニュアル程度のデータ量」と言ってるのに対して、
感染していたエアナビゲータライト等は「収録ユーティリティーとかコミコミ」ですよね。
だから温度差があるんだよ。
CDNを使うのは、コストの最適化とリスクヘッジ (スコア:5, 参考になる)
CDNを使うのは、ダウンロードが常に快適に行えるようにするためです。
もし、自社でサーバを立てて配信するとしたら、アクセスが最大に集中した時を見込んで回線を買わないといけないし、サーバのキャパシティプランも余裕を持たせないといけないです。
だからといって、その用意した回線とサーバで、アクセスが大量に来た時に捌き切れるという保証はありません。
更に、負荷状況を均すことができるわけではないので、アクセスが少ない時は、折角、購入・契約した「資産」が活用できていない状態となり、結果的には割高になります。
しかし、CDNを使えば、アクセスの多い・少ないに関わらず、CDN業者のSLAの範疇で、快適に配信することが可能です。
また、オリジンサーバからのみの配信だと、途中経路で問題が発生している場合に、一部のユーザに配信できない可能性があります。
更に、CDNを使えば、「資産」ではなく「コスト」となりますから、減価償却の必要が無くなり、会計上は経費として計上できます。
ビジネスとしてやるからには、コストだけが重要ではなく、顧客に提供する「体験」品質の維持も重要な要素なのです。
ちなみに、機器のドライバやマニュアルのダウンロードのトラフィック量は、「塵も積もれば山となる」で、アクセスが集中するときは凄いのです。
Re: (スコア:0)
人気Webサイトならともかく、バッファローのドライバやマニュアルなど、よほど緊急のアップデートでも出ない限り、100人同時なんて考えづらいなあ。
10人同時なら時々ありそう。
Re:CDNを使うのは、コストの最適化とリスクヘッジ (スコア:5, 興味深い)
「考えづらい」という事と、現実が必ずしも合致するわけではありません。
このようなサイトの運用を実際に担当してみないとわからない世界もあります。
私がAkamaiで働いていた時は、バッファローよりドライバのダウンロード数がありそうにないお客様でも、結構なトラフィック量がありました。
バッファローの「らくらくアップデートツール」のような自動ダウンロードが多くなっていますし。
Re: (スコア:0)
うんだからAkamaiを使うのはとてもいい選択だと思う
弱いけどLimelightNetworksでも
でもバッファローはなんでよりにもよってCDNetworksなんか使ったんだ
Re:CDNを使うのは、コストの最適化とリスクヘッジ (スコア:1)
そりゃ前出の2社が高いからでしょうね
Re:CDNを使うのは、コストの最適化とリスクヘッジ (スコア:1)
ドライバ関連は、ファイルサイズが数十M以上ですからね。
ひとつ忘れてならないのは、同時ダウンロード数が増えれば、ダウンロード速度が下がります。
ダウンロード速度が下がる
↓
ダウンロード時間が長くなる
↓
時間が長くなれば、必然的に同時にダウンロードする人数も多くなる
↓
ダウンロード速度が下がる
↓
以下、永久ループ
なので、ダウンロード系は甘く見てはいけないです。
Re: (スコア:0)
10Gbps共有のVPSならどうだろう?
Re: (スコア:0)
同じサーバーに同居する他のユーザーの動向に大きく左右されるし、
このバッファローのダウンロードサーバーが同居したら
他のユーザーにとっては大迷惑だろうね。
Re: (スコア:0)
Re: (スコア:0)
Amazon S3 CloudFrontなんかもあるし。