パスワードを忘れた? アカウント作成
11031970 story
インターネット

コンテンツ配信サービスCDNetworksで配信しているコンテンツの改ざんが確認される 52

ストーリー by hylom
コンテンツ配信サービスを使う際はご注意を 部門より
chuukai 曰く、

先日、バッファローが提供しているダウンロードサーバー内のファイルが一部改ざんされる事件があったが、その後バッファローがウイルス混入の経緯を公表した。それによると、サーバーの委託先であるCDNetworks社にてファイルが改ざんされウイルスに感染したという。

なお、5月30日付けのプレスリリースによると、CDNetworksは(DDoS攻撃回避サービスにより)セキュリティ対策市場へ参入したそうだ。なんとも皮肉な話である。

CDNetworks社は6月3日付けで同社サービスの一部においてセキュリティ侵害が発生していたことを発表している日経ITproによると、CDNetworks社のサービスを利用していたHISやブログサービス「JUGEM」なども影響を受けた模様(日経ITproの別記事Security NEXT)。攻撃手法についての詳細や影響のあった顧客などについては公表されていない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by chuukai (18189) on 2014年06月03日 21時03分 (#2614510) 日記

    昨年の話ですが、CDNetworksのコンテンツのアップロードサービスに使われていると推測されるサーバーがAnonymous FTPサーバーになっていて、サーバー内のおそらくはほとんど全てのファイルとディレクトリが閲覧できるようになっていました。
    詳しいことは不正アクセスを助長しそうなので言えません。

    不正アクセス禁止法違反で警察が来そうですが、IDでいいや。

    • by chuukai (18189) on 2014年06月03日 21時54分 (#2614541) 日記

      FFFTPという素人が利用するとは考えられないソフトウエアを使って閲覧した結果、顧客がアップロードしたと思われるコンテンツがダウンロードし放題になっていました。

      セキュリティが甘いCDNにコンテンツ(知的財産)を任せることは、顧客自身の損害になります。

      親コメント
      • なぜCDNetworksのコンテンツのアップロードサービスに使われている(と推測される)サーバーがAnonymous FTPサーバーとなったのか。
        以下、推測です。
        コンテンツのアップロードサービスを行うにあたって、CDNetworks内では標準的な構成であるサーバーではFTP機能が有効になっていたのでそれを流用し、外部(顧客側)からサーバーのFTPサービスへのアクセスルートを作った。
        その時に十分なアクセス制限を行うべきだったにもかかわらず、passwdにftp:x:14:50:FTP User:/data/ftp:/sbin/nologinと書いてしまった(書いたことに気が付かなかった)。

        親コメント
      • by Anonymous Coward

        関係ないですけど脆弱性やらなんやらでケチが付いたFFFTPを玄人は使わない気がします。

        • by Anonymous Coward

          ApacheやBINDなんか使ってるのもド素人なんですね。

          • by Anonymous Coward

            ApacheはともかくBINDはド素人認定したい

            • by Anonymous Coward

              あれ?今ルートサーバってBINDなくなったの?anycast化でいっぱいルートができてから、どうなったのかよくわからないけど、昔はBINDとNSDだったような。

              http://en.wikipedia.org/wiki/Root_name_server [wikipedia.org]

            • by Anonymous Coward

              ゾーンサーバとフルリゾルバサービスを同一プロセスで動かしていたらど素人認定でもいいと思う
              同一ホストであるかどうかはまあ置いておく

      • by Anonymous Coward

        俺素人じゃなかった!今知った。

  • 2度感染 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2014年06月04日 9時24分 (#2614766)

    HISのサイトを閲覧してウイルス感染

    OS再インストール

    無線LANドライバ再インストールでウイルス感染

    実話です。

    • by usuage (40000) on 2014年06月04日 16時48分 (#2615096)

      おもおかじゃないでしょこれ…

      親コメント
    • by Anonymous Coward on 2014年06月04日 17時17分 (#2615123)
      「今回のセキュリティ侵害(以下、本被害)は、当社がコンテンツ・デリバリ・ネットワーク(以下、CDN)サービス「ウェブ・パフォーマンス・スイート」のオプションサービスとして付加的に提供している、コンテンツのアップロードサービス(以下、本サービス)の一部において発生したものであり、本サービスをご利用中のお客様においてごく限定的な範囲で影響を及ぼしました。これにより、当社のお客様がアップロードしたコンテンツの一部が改ざんされたことが確認されましたが、当社の標準プラットフォームであるCDNサービス全体において被害が発生したものではありません。」

      被害を極限まで小さく見せようとする、こんな会社のサービスは使いたくないわ。
      親コメント
    • by Anonymous Coward

      それは酷い。
      CDNetworksに損害賠償請求できますよ。

    • by Anonymous Coward

      アンチウイルスソフト仕事しろよ

  • by Anonymous Coward on 2014年06月04日 3時40分 (#2614693)

    まとめサイトのスクリーンショットみたらKRの文字があって、なんでわざわざと思ったらもともと韓国の企業だったんですね。
    特にだからなにってことはないんですけど、企業風土ってあるのかな?

    • by Anonymous Coward on 2014年06月04日 13時44分 (#2614946)

      企業風土というか国家的な風土なんでしょうね。
      最近のフェリー沈没騒ぎとか見てるとわかりますよ。

      親コメント
    • by Anonymous Coward

      バッファローは台湾企業と言って良いぐらいなのに・・・
      なぜkr使う・・・

      NECに買い換えるか・・・

    • by Anonymous Coward

      元々は韓国発祥だけど、日本法人はKDDI系じゃなかったかな。

      KDDIはISPでも有るから負荷削減に利くのだろうなと思って居た。
      けど、まさかとは思うが、auのスマホの更新とかには使ってない、よね?

  • by Anonymous Coward on 2014年06月04日 1時28分 (#2614671)

    ・上でも書かれている「ユーザー体験」の向上
     ・ユーザーにより近いところからコンテンツを配信できる
      ・Akamaiのような「分散型」とCDNetworksやLimeLight,CloudFrontのような「集中型」では若干違いはあるけど
    ・インフラ費用の削減、効率化
     ・一般的に、ユーザーからのリクエストをさばけるだけのサーバやストレージを買って、
      データセンターにラックを借りて、インターネット回線を引くコストよりも
      CDNを使った方が総コストは安い
       ・私が今使っているところは、インターネット回線のMbps単価だけ見ても、CDNはデータセンターの半額以下
     ・ピークトラフィックに合わせた自社設備を用意すると、普段は使われない「余剰能力」が大きくなる。
      CDNを使えば、「使った分だけ」の支払いですむので、無駄が少ない。
      (配信データ量課金や、利用帯域の95パーセンタイル課金など)

    • torrentじゃだめなんですか?

      日本ではWinnyやCabosのせいでP2Pのイメージはひどく悪いですが、海外では例えばLibre Officeは配布にtorrentも使ってますよね。

      --
      Jubilee
      親コメント
      • そういや4.2.4入れてないなとtorrentでのダウンロードを試みるためにFinalTorrent入れてみましたが…。

        だめだこりゃ。RegCleanProやらHao123やらその他絶対ほしくないものを突っ込もうとしやがった。拒否はできましたけど、人には勧められませんね。

        --
        Jubilee
        親コメント
      • uTorrentなんてろくすっぽ読まずにインストールすると
        たちの悪いアドウェアを仕込んでくる。

        利用者のデスクトップを狙った有象無象が跋扈するような
        配信プラットフォームを素人に使わせたら大騒ぎになりますよ。

        親コメント
        • ですよねぇ。試してよく分かりました。

          かつてあるマザーボードメーカーがP2Pでドライバ配布していて、専用クライアントインストールの面倒臭さにやってませんでしたが、今では本家サイトからの直接ダウンロードだけになっていました。

          --
          Jubilee
          親コメント
      • by Anonymous Coward

        P2Pはユーザーの善意に期待する必要があるので難しいのでは?
        まず近くに配信しているユーザーがいないといけないし最低品質の見積も難しいし。

      • by Anonymous Coward

        CentOSのISOイメージ配布とかだったら、torrentという選択肢もありかなと思いますが、
        普通のwebサイトや、バッファローのダウンロードサイトのように
        利用者の障壁を下げる必要があるような場所では
        ハードル高いですね。

        基本的にはサイトの静的コンテンツ配信用です。
        js/css/画像/動画など

      • by Anonymous Coward

        海外はどうあれ、日本でtorrentとか使ったら当局に目を付けられそうで恐いな。

      • by Anonymous Coward

        torrentだと、下手するとマルウェア入りを掴まされたりするからなぁ。
        ユーザーがちゃんと公式サイトで配布してるtorrentファイルやDL済みファイルのハッシュ値を確認すればいいけど、そんなリテラシー高い人ばかりじゃないし、そもそもtorrentクライアントの導入さえ厳しい人もいる。

        LibreOfficeなんて、ある程度ネットの知識ないと知らないものだし、torrent以外の配布方法もあるからなぁ。

        • 結論から言うと、やっぱりtorrentはダメだと判断しました。

          FinalTorrentで入手したLibreOfficeのインストーラーには、Kawagasoftのデジタル署名がついてました…。

          FinalTorrent自体がろくなもんじゃなくてインストール時に変なものを突っ込もうとして来るのは前に書いたとおりですし、入手したバイナリを実行する前にデジタル署名やハッシュを確認する方法がないという。マシなクライアントもあるんでしょうが、やる気が失せました。

          ちなみに職場のネットワークではtorrentのトラフィックは遮断されてます。

          --
          Jubilee
          親コメント
  • by jizou (5538) on 2014年06月03日 19時49分 (#2614464) 日記

    機器のドライバやマニュアル程度のデータ量では、
    CDNを使うほどのトラフィックは流れないと思うんだけどなぁ....

    あとは、データ書き換えに必要な権限の管理と認証がどうなっていたかが気になるところですね。

    • by Anonymous Coward on 2014年06月03日 20時52分 (#2614506)

      見積もりが甘いと思うよ。
      仮に、100Mbpsの回線で100人同時にダウンロードしたら、一人あたり1Mbpsです。
      1Mbpsで速いとと思いますか?今時、携帯でも出る速度です。

      国内トップクラスのPC周辺機器メーカーですので、決して間違った選択肢ではないですよ。
      自前で回線とサーバーをもつメリットもあまりないですからね。

      配信は配信屋さんに任せるのが安心。のはずだったんですがね。

      親コメント
      • by jizou (5538) on 2014年06月03日 21時43分 (#2614534) 日記

        ドライバファイルが数百MByteあるのなら困りますけど、
        数百kByteなら回線が細くても問題ないと思いますよ。

        親コメント
        • Re:そもそも (スコア:5, 参考になる)

          by Anonymous Coward on 2014年06月03日 21時55分 (#2614542)

          感染していたエアナビゲータライトは117MB、エアナビゲータ2ライトは105MBでしたよ。
          どこぞのプリンタドライバーは数百メガバイトでため息が出たわ。

          親コメント
          • by Anonymous Coward on 2014年06月03日 22時05分 (#2614549)

            ああ。そこだ。
            元の人は「機器のドライバやマニュアル程度のデータ量」と言ってるのに対して、
            感染していたエアナビゲータライト等は「収録ユーティリティーとかコミコミ」ですよね。
            だから温度差があるんだよ。

            親コメント
        • CDNを使うのは、ダウンロードが常に快適に行えるようにするためです。
          もし、自社でサーバを立てて配信するとしたら、アクセスが最大に集中した時を見込んで回線を買わないといけないし、サーバのキャパシティプランも余裕を持たせないといけないです。

          だからといって、その用意した回線とサーバで、アクセスが大量に来た時に捌き切れるという保証はありません。
          更に、負荷状況を均すことができるわけではないので、アクセスが少ない時は、折角、購入・契約した「資産」が活用できていない状態となり、結果的には割高になります。

          しかし、CDNを使えば、アクセスの多い・少ないに関わらず、CDN業者のSLAの範疇で、快適に配信することが可能です。
          また、オリジンサーバからのみの配信だと、途中経路で問題が発生している場合に、一部のユーザに配信できない可能性があります。
          更に、CDNを使えば、「資産」ではなく「コスト」となりますから、減価償却の必要が無くなり、会計上は経費として計上できます。

          ビジネスとしてやるからには、コストだけが重要ではなく、顧客に提供する「体験」品質の維持も重要な要素なのです。

          ちなみに、機器のドライバやマニュアルのダウンロードのトラフィック量は、「塵も積もれば山となる」で、アクセスが集中するときは凄いのです。

          親コメント
          • by Anonymous Coward

            人気Webサイトならともかく、バッファローのドライバやマニュアルなど、よほど緊急のアップデートでも出ない限り、100人同時なんて考えづらいなあ。
            10人同時なら時々ありそう。

            • 「考えづらい」という事と、現実が必ずしも合致するわけではありません。
              このようなサイトの運用を実際に担当してみないとわからない世界もあります。

              私がAkamaiで働いていた時は、バッファローよりドライバのダウンロード数がありそうにないお客様でも、結構なトラフィック量がありました。

              バッファローの「らくらくアップデートツール」のような自動ダウンロードが多くなっていますし。

              親コメント
            • by Anonymous Coward on 2014年06月04日 11時58分 (#2614869)

              ドライバ関連は、ファイルサイズが数十M以上ですからね。

              ひとつ忘れてならないのは、同時ダウンロード数が増えれば、ダウンロード速度が下がります。
              ダウンロード速度が下がる

              ダウンロード時間が長くなる

              時間が長くなれば、必然的に同時にダウンロードする人数も多くなる

              ダウンロード速度が下がる

              以下、永久ループ

              なので、ダウンロード系は甘く見てはいけないです。

              親コメント
      • by Anonymous Coward

        10Gbps共有のVPSならどうだろう?

        • by Anonymous Coward

          同じサーバーに同居する他のユーザーの動向に大きく左右されるし、
          このバッファローのダウンロードサーバーが同居したら
          他のユーザーにとっては大迷惑だろうね。

      • by Anonymous Coward
        Akamaiさんは高いの?
        • by Anonymous Coward

          Amazon S3 CloudFrontなんかもあるし。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...