セキュリティ

中国のネットショップで買った中国製マシンにマルウェアがプリインストールされていたとの報告、制御ソフトのスキャンだけでは発見できない巧妙さ


日本でもサービスを展開している中国のオンライン通販サイト「AliExpress」で小型のピックアンドプレースマシンを購入したところ、最初からマルウェアがインストールされていたあげく、AliExpressから何の対応も得られなかったとの体験談が公開されました。

Zheng Bang ZB3245TSS Pick & Place Machine - Custom Electronics, PWM Circuits, Induction Heating, and DIY Science Projects
https://www.rmcybernetics.com/general/zhengbang-zb3245tss-pick-place-machine

DIY製品などを手がけるイギリスの電子部品販売サイト・RMCyberneticsは2021年12月に、製品の少数生産や試作品の開発に使うためAliExpressからピックアンドプレースマシンの「ZhengBang ZB3245TSS」を購入しました。輸入税を除く価格は約4000ポンド(約61万5000円)だったとのこと。


OSや付属のソフトウェアの多くは言語が中国語でしたが、主要な制御ソフトは英語だったので、RMCyberneticsはさしたる問題もなくZhengBang ZB3245TSSを使うための準備を進めることができました。しかし、中国製の製品特有のバグや不具合で何らかの失敗が発生することを想定し、RMCyberneticsが制御用ソフトウェアをいったんUSBメモリにバックアップしてからUSBメモリをPCに接続したところ、即座にアンチウイルスソフトが起動して警告を発しました。

アンチウイルスソフトのログを調べると、問題のファイルはZhengBang ZB3245TSSのメインOSである「FlyerSMT_HV.exe」でした。そこで、誤検知の可能性がないか調べるためにVirusTotalで一括チェックしたところ、53のアンチウイルスソフトがマルウェアだと判断したとの結果が出ました。なお、記事作成時点では53から60に増えています


その後の詳細な分析により、制御ソフトのマルウェアはユーザーのデータを収集して送信する機能を持ったものだったことが判明しました。これについてRMCyberneticsは、「設計や企業情報を盗み取るために仕込まれたもの」と推測しています。

このことをメーカーのZhengbangに問い合わせたところ、同社のサポートはアンチウイルスソフトの作動は誤検知であり、心配の必要はないと回答したとのこと。また、Zhengbangから送られてきた新しい制御ソフトからは、確かにマルウェアが検出されませんでした。

しかし、新しい制御ソフトでマルウェアに感染した制御ソフトを上書きして再挑戦したところ、再びアンチウイルスソフトが起動して警告を発しました。そこで、USBメモリにあるソフト以外にもマルウェアが仕込まれているのではないかと考えたRMCyberneticsが、マシンを分解して内部に組み込まれたPCを複数のアンチウイルスソフトでスキャンしたところ、そこにもトロイの木馬をダウンロードさせるものを含めた別のマルウェアがあることが判明しました。


マシン側に入っていたマルウェアは、USBメモリにマルウェア入りの実行ファイルの隠しコピーを作成した上でそのマルウェアを再パッケージ化しており、巧妙にマルウェアが隠せるようになっていたそうです。

RMCyberneticsは、このいきさつをAliExpressに通報しましたが、「規約違反ではない」との回答以外は何の対応も得られませんでした。これについてRMCyberneticsは「仮にAliExpressのポリシーに抵触していなくても、不正なソフトを使って故意にPCに不正アクセスするのはイギリスの法律に違反する犯罪行為です。しかし、AliExpressにはマルウェアを搭載したマシンが違法に販売されるのを阻止する意思はないようです」と指摘しました。

なお、RMCyberneticsは最終的にマシンに自前のOSをインストールし、マルウェアに感染されていない制御ソフトを使ってZhengBang ZB3245TSSを安全に使えるようにしたそうです。

この記事のタイトルとURLをコピーする

・関連記事
HDD交換後も感染したPCに残るUEFIファームウェアを標的とする中国製マルウェア「MoonBounce」 - GIGAZINE

中国メーカーの超低価格スマホが出荷された時点でマルウェアに感染していたことが判明 - GIGAZINE

中国政府系ハッカーが台湾の半導体産業から戦略的に情報を盗み出している証拠とは? - GIGAZINE

中国製のAndroidアプリが重要なユーザー情報を収集していると研究者が報告、マルウェアによる悪用の危険性も - GIGAZINE

「中国製スマートフォンのアプリには特定の単語を検閲する仕組みがあった」とリトアニア国防省が報告 - GIGAZINE

中国が新型コロナウイルスの研究機関に大規模なハッキングを仕掛けていることが判明 - GIGAZINE

中国製の電子タバコにマルウェアが仕組まれていた可能性 - GIGAZINE

in ハードウェア,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.