中国のネットショップで買った中国製マシンにマルウェアがプリインストールされていたとの報告、制御ソフトのスキャンだけでは発見できない巧妙さ

日本でもサービスを展開している中国のオンライン通販サイト「AliExpress」で小型のピックアンドプレースマシンを購入したところ、最初からマルウェアがインストールされていたあげく、AliExpressから何の対応も得られなかったとの体験談が公開されました。

Zheng Bang ZB3245TSS Pick & Place Machine - Custom Electronics, PWM Circuits, Induction Heating, and DIY Science Projects
https://www.rmcybernetics.com/general/zhengbang-zb3245tss-pick-place-machine

DIY製品などを手がけるイギリスの電子部品販売サイト・RMCyberneticsは2021年12月に、製品の少数生産や試作品の開発に使うためAliExpressからピックアンドプレースマシンの「ZhengBang ZB3245TSS」を購入しました。輸入税を除く価格は約4000ポンド(約61万5000円)だったとのこと。

OSや付属のソフトウェアの多くは言語が中国語でしたが、主要な制御ソフトは英語だったので、RMCyberneticsはさしたる問題もなくZhengBang ZB3245TSSを使うための準備を進めることができました。しかし、中国製の製品特有のバグや不具合で何らかの失敗が発生することを想定し、RMCyberneticsが制御用ソフトウェアをいったんUSBメモリにバックアップしてからUSBメモリをPCに接続したところ、即座にアンチウイルスソフトが起動して警告を発しました。

アンチウイルスソフトのログを調べると、問題のファイルはZhengBang ZB3245TSSのメインOSである「FlyerSMT_HV.exe」でした。そこで、誤検知の可能性がないか調べるためにVirusTotalで一括チェックしたところ、53のアンチウイルスソフトがマルウェアだと判断したとの結果が出ました。なお、記事作成時点では53から60に増えています。

その後の詳細な分析により、制御ソフトのマルウェアはユーザーのデータを収集して送信する機能を持ったものだったことが判明しました。これについてRMCyberneticsは、「設計や企業情報を盗み取るために仕込まれたもの」と推測しています。

このことをメーカーのZhengbangに問い合わせたところ、同社のサポートはアンチウイルスソフトの作動は誤検知であり、心配の必要はないと回答したとのこと。また、Zhengbangから送られてきた新しい制御ソフトからは、確かにマルウェアが検出されませんでした。

しかし、新しい制御ソフトでマルウェアに感染した制御ソフトを上書きして再挑戦したところ、再びアンチウイルスソフトが起動して警告を発しました。そこで、USBメモリにあるソフト以外にもマルウェアが仕込まれているのではないかと考えたRMCyberneticsが、マシンを分解して内部に組み込まれたPCを複数のアンチウイルスソフトでスキャンしたところ、そこにもトロイの木馬をダウンロードさせるものを含めた別のマルウェアがあることが判明しました。

マシン側に入っていたマルウェアは、USBメモリにマルウェア入りの実行ファイルの隠しコピーを作成した上でそのマルウェアを再パッケージ化しており、巧妙にマルウェアが隠せるようになっていたそうです。

RMCyberneticsは、このいきさつをAliExpressに通報しましたが、「規約違反ではない」との回答以外は何の対応も得られませんでした。これについてRMCyberneticsは「仮にAliExpressのポリシーに抵触していなくても、不正なソフトを使って故意にPCに不正アクセスするのはイギリスの法律に違反する犯罪行為です。しかし、AliExpressにはマルウェアを搭載したマシンが違法に販売されるのを阻止する意思はないようです」と指摘しました。

なお、RMCyberneticsは最終的にマシンに自前のOSをインストールし、マルウェアに感染されていない制御ソフトを使ってZhengBang ZB3245TSSを安全に使えるようにしたそうです。