日本でもサービスを展開している中国のオンライン通販サイト「AliExpress」で小型のピックアンドプレースマシンを購入したところ、最初からマルウェアがインストールされていたあげく、AliExpressから何の対応も得られなかったとの体験談が公開されました。

GIGAZINE

日本ではまず売られていないような電子パーツや、交換部品などを安く購入することができるAliexpress。一方でとある工業機械を購入したイギリス企業が、このAliexpressで購入した機械に情報を流出させるマルウェアがインストールされていたと報じられています。

具体的にはイギリスの電子部品サイトが試作品開発を行うためAliexpressでZhengBang ZB3245TSSという機械を購入。価格は61万円でした。その後、この機械の制御ソフトを一旦USBメモリにコピーしそれをPCに接続したところ、アンチウイルスソフトが作動し、不正なソフトが入っていると警告したとのこと。

その後の調査でアンチウイルスソフトの誤動作かと思い調査したところFlyerSMT_HV.exeにユーザーのデータを収集して送信するというマルウェアが仕組まれていたことが判明。その後購入した機械のメーカーから制御ソフトの提出を受けたところ、これには何も含まれていませんでした。

この新しい制御ソフトをUSBメモリを使いPCから機械にインストール、そしてそのUSBメモリを再びPCに接続したところ再びアンチウイルスソフトが作動したといいます。結果、この機械にUSBメモリをぶっ刺すとマルウェアが組み込んだソフトを隠しファイルをコピーしPC上で実行させるような挙動をしていることがわかったとしています。

これがメーカーが意図してそれを行っていたのか。それともハードウェアそのものに含まれていたのかは記載がないのですが、メーカーやAliexpress側に連絡してもまともな対応は受けられなかったとしてます。



中国製の製品についてはこのような不正を行うようなソフトがプリインストールされている可能性が過去にも複数報じられていることから、Aliexpressなどを利用し家電機器を直接購入するというのは極めてリスクのある行為です。もちろん一般人も含めAliexpressでUSBメモリーやSDカードなどを購入する人は存在しないと思いますが、それを使えばPC内部の情報、及びネットワークに接続した端末の情報は抜かれると思って対応したほうがよさそうです。