QNAP 警告:インターネットに露出する NAS がランサムウェアに狙われている

QNAP warns of ransomware targeting Internet-exposed NAS devices

2022/01/07 BleepingComputer — 今日、QNAP は、ランサムウェアやブルートフォースなどの進行中の攻撃から、インターネットに露出した NAS デバイスを直ちに保護するよう、顧客に警告した。QNAP は、今日のプレスリリースの中で、「すべての QNAP NAS ユーザーに対して、QNAP ネットワーク・デバイスのセキュリティを確保するために、指示に従うことを強く求める」と述べている。

同社は、QNAP NAS デバイスの内蔵セキュリティ・ポータルである Security Counselor を開いて、NAS がインターネット上でアクセス可能/不可能を確認するようユーザーに警告している。

「ダッシュボードに “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP” と表示されている場合は、使用中の NAS はインターネットに露出しており、高いリスクが生じている」

QNAP は、インターネットに露出している NAS デバイスのユーザーに対して、攻撃を防ぐために以下の対策をとるようアドバイスしている。

  • ルーターのポート・フォワーディング機能を無効にする:ルーターの管理インターフェースにアクセスし、バーチャル・サーバー/NAT/ポート・フォワーディングの設定を確認し、NAS 管理サービス ポート (デフォルトでは Port 8080/433) のポート・フォワーディング設定を無効にする。
  • QNAP NAS の UPnP 機能を無効にする:QTS メニューの myQNAPcloud にアクセスし、”Auto Router Configuration” をクリックし、”Enable UPnP Port forwarding” の選択を解除する。

    また、QNAP は、SSH/Telnet 接続を OFF にしてシステム・ポート番号を変更する方法や、デバイスのパスワードを変更する方法、IP およびアカウントのアクセス保護を有効にする方法について、ステップ・バイ・ステップで詳細な手順を提供している。

    ランサムウェアの攻撃が急増していることを受けての警告

    QNAP は発生している攻撃の詳細を明らかにしていないが、QNAP の顧客のシステムが eCh0raix ランサムウェア (QNAPCrypt とも呼ばれる) の標的にされたという報告もある。これらのインシデントは、クリスマス直前に増加した活動に続くもので、未知の攻撃ベクターが使用されている。

    ただし、BleepingComputers が確認したユーザー報告の中には、ランサムウェアの攻撃が成功したのは、インターネットに露出したデバイスのセキュリティが不適切だったからだとするものもある。また、QNAP Photo Station の未確認の脆弱性が悪用されたとする報告もある。

    BleepingComputer では、最近の一連の攻撃において、$1,200〜$3,000 相当の Bitcoin を要求する、eCh0raix からの身代金要求を確認している。その中には、被害者が暗号化されたファイルのバックアップを取っていなかったことで、支払いが行われたというケースもあった。

    QNAP デバイスは、2019年6月と 2020年6月に、eCh0raix ランサムウェアを使用する脅威アクターに狙われている。また、2021年5月にも、パスワードが脆弱なデバイスを標的とした、eCh0raix 攻撃の別シリーズが急増していることをユーザーに警告していた。

QNAP NAS における脆弱性と攻撃のレポートですが、文中のリンクをたどっても、残念ながら CVE は見つかりませんでした。 関連記事としては、2021年6月の「QNAP NAS の深刻な脆弱性 CVE-2021-28809 が FIX した」、2021年8月の「QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?」、「QNAP NAS と OpenSSL 脆弱性:現時点では対応中とのこと」などがあります。よろしければ、ご参照ください。

%d bloggers like this: