攻撃のあらまし
2022年5月14日土曜日の朝、父から電話がありました。
父の会社のサーバーの共有フォルダのファイルのほとんどすべての拡張子が、deadboltに書き換えられているとのことでした。
これはDeadboltというランサムウェアで、今年世界中でQNAPやAsustorのNASというサーバーを標的とした被害が多発していることを知りました。
そして、父の会社のサーバーは、QNAP NASという台湾製のものだと判明しました。
休日なので、サーバーとセキュリティーの外注先の会社と連絡が取れないので、父は私に応急措置ができないか尋ねましたが、父の会社のサーバーの管理は私は携わっていなかったので、責任の外注先の対応を待つべきだと返答しました。
父はサーバーのLANケーブルを抜いて、週明けを待ちました。
数日後、外注先の会社の人が父の会社に来たので、話を聞くために私も出向きました。なんでも、QNAP NASには、ファイルを保存するたびにバックアップする機能があるので、ファイルを復旧できると言われました。
父は、サーバーセキュリティの外注先にファイル復旧の見積もりを依頼しました。
見積もりには2週間くらいかかり、40万円ほどになると言われました。
父は元々サーバーやセキュリティー機器および保守に数百万円を支払っているので、ファイル復旧にそのような金額をもう支払いたくはないと断り、サーバーを取り戻しました。
そして父は、システムエンジニアの端くれの私に、ファイルの復旧を試みるように言いました。
※9月8日追記(9月16日編集)
その後の情報で、deadboltの攻撃を受けている途中で接続を切り、QNAPに調査を依頼すると、一時記録領域に犯人が残した復号キーが記載されたファイルを見つけて復号キーを知らせて貰える可能性があるという事実が判明しました。もし攻撃の途中で気付いた方がいらっしゃいましたら、QNAPのサポートに連絡すると、復号キーを知らせて貰える可能性があります。
インターネット検索での調査
私は、このランサムウェアについての英語の情報を調査し、身代金を支払わずにファイルを復旧できる方法を暗中模索しました。
そして、このランサムウェアがいかに周到で巧妙な仕掛けになっているかを思い知らされることになりました。
犯人がファイルを暗号化した方法と復号の方法
拡張子をdeadboltに書き換えられたファイルは、ただファイル名が書き換えられているわけではなく、暗号化されているので、拡張子を元に戻しても、普通は開くことができなくなっています。
「普通は」と言うのは、英語のフォーラムでの書き込みで、拡張子を元に戻すとファイルが開けたという報告をしている人がいたからです。これは、おそらく、犯人がファイルの暗号化の途中で犯行を阻止されたからだろうとのことでした。
父のサーバーについては、調べた限りでは、やはりファイルは実際にすべて暗号化されているようでした。
私が受け止めなければならない事実は、このdeadboltという拡張子を付けられて暗号化されたファイルは、32桁の復号キーがなければ、復旧は不可能であるということでした。
そして、この復号キーは、攻撃を受けたサーバーに通常残されるはずの、ランサムノート(脅迫文)に記載されたビットコインのアドレスに、指定された金額のビットコインを送金することによって初めて、公開されるとのことでした。
ただ、QNAP NASのサーバーでは、このランサムノートが見つからないという問題が、世界中で多発しています。父のサーバーについても同様です。これは、セキュリティーの脆弱性に気付いたQNAP NASの会社が、修正パッチを、ネットにつながっているすべてのQNAP NASに、今年の1月27日に強制的に当てたことにより、ランサムノートがサーバーにブラウザでアクセスしたときに表示されないようになったからであるとのことでした。ただし、ランサムノートを確認したい場合には、QNAPに問い合わせるようにとの記事が見つかりました。
私も現在問い合わせ中です。
なぜランサムノートが必要なのかについて書きます。
私は必ずしも身代金を支払おうと思ってランサムノートを求めているわけではありません。
このビットコインアドレスを手掛かりにして、上記の復号キーを入手する方法があるかも知れないので、ランサムノートを確認したいのです。
なぜそんなことが可能かと言うと、こちらの動画を見つけたからです。
この動画によると、犯人のビットコインアドレスをたどることにより、身代金を支払った人に返答された復号キーが、ウエブ上で閲覧できるとのことでした。
復号キーにはいくつかパターンがあるようで、もし自分のサーバーに使われた復号キーが、他の人に提供された復号キーと一致する場合、自分のファイルを復旧できる可能性があるとのことでした。
また、ビットコインアドレスと復号キーはセットになっているようであるという情報も入手しました。つまり、ビットコインなどの仮想通貨は、どのような取引がなされたのかがインターネットで確認できるようになっているので、ランサムノートに記載されているビットコインアドレスへの送金履歴が下記のサイトで確認でき、しかも、送金時に自動で返信される復号キーもそこに記載されているとのことでした。
つまり、ランサムノートからビットコインアドレスを知ることにより、そのビットコインアドレスへの送金履歴を検索すると、過去にそのビットコインアドレスに送金した人がいれば、自分のと一致する復号キーが分かる可能性があるとのことでした。
こちらの情報がきっかけで、ランサムノートが見たくなったという訳です。
復号キーなしでのファイル復旧作業の方法
PhotoRecを使用
上記の情報にたどり着くまでに、他の手段も試してみました。
先ず、こちらのウェブサイトに掲載されているツールを使用してみました。
こちらのツールは、ubuntuというUNIX系のプログラムを使用して、PhotoRecというソフトを使い、削除されたファイルを復旧するというものでした。
なぜ削除されたファイルなのかと言うと、Deadboltは、実は元々のファイルそのものの拡張子を置き換えるのではなく、元々のファイルからまずdeadboltという拡張子のファイルを新たに作成して暗号化し、その後元々のファイルを削除する、という手順を取っているからということでした。
つまり、その削除されたファイルを復旧できれば、ほとんどのファイルが復旧できるはずであるという発想から採った手段であるとのことでした。
ただ、このDeadboltというランサムウェアは、そのような手段を被害者が採るであろうことをもちろん知っており、その削除されたデータが保存されているディスクの領域に、新しく作成したdeadboltのファイルを上書きするように仕掛けがされており、復旧されたデータの多くが、復旧不可能になるように破壊されているということでした。
実際に、復旧されたファイルのうち、正常に開くことができるファイルは一部でした。
また、上記のツールでは、PhotoRecが元々のファイル名を復旧できず、ファイル名はデータが保存されているディスクのセクタ名になるため、復旧後に、拡張子がdeadboltに換えられたファイルと、データの大きさを比較し、同じ拡張子とファイルサイズのファイルを見つけ出して復旧するというプロセスを踏みます。その際、どうやら、拡張子がdeadboltになり暗号化される際に、元のファイルサイズと若干異なるファイルサイズになってしまうことが多く、復旧されたデータのうち、ファイル名が復旧できるファイルは僅か一握りになってしまうようでした。
その結果、PhotoRecで復旧された膨大な数のファイルは、手動で一個一個開いてみて中身を確認し、開ける場合には、元々のファイル名に直して、元々あったフォルダーに手動で振り分けるなければならないとう途方もない作業が発生することになりました。
これは非常に骨が折れる作業です。
将来の対策方法のアップデートに期待
ただ、この作業は無駄ではなかったと思います。
と言うのは、過去のランサムウェアについても、暗号化されたファイルと、元々のファイルが両方揃っている場合、その二つのファイルから、復号キーを導き出すツールが提供されているので、Deadboltについても、そのようなツールが将来的に作成され配布されるようになることが期待できるからです。
上記の理由で、deadboltに拡張子が置き換えられ暗号化されたファイルは、将来復旧できるようになる可能性があるので、削除せずに保管しておくことが推奨されます。
EaseUS Data Recoveryでのファイル復旧
上記のubuntsuでのファイル復旧作業の後、私が父に導入を頼んだソフトが、EaseUS Data Recoveryです。このソフトは、ネットワーク上につながっているNASと直に接続して、ファイルサーバー上だけでなく、ハードディスク上で削除されたすべてのデータを復旧できるという特色があります。
私がこのソフトの導入を薦めたのには下記の理由がありました。
そのきっかけは、トレンドマイクロ社のある記事についてのフォーラムでの言及でした。
Deadboltの犯人は、サーバーのファイルを暗号化するために、一度サーバーに、暗号化キーが記入された設定ファイルを保存してから、プログラムを走らせるのだとしたら、その痕跡が、サーバーに残っているのではないかという憶測が言及されていました。
藁をもすがる思いで、サーバー上に残された設定ファイルを探してみると、Tomcatというプログラミングのファルダに、なぜか拡張子がdeadboltのデータが、攻撃された5月13日の午後6時過ぎごろ、つまり共有フォルダ内のファイルの拡張子が置き換えられる前に作られていることに気が付きました。
そしてその中に、classファイルがありました。いくつかは拡張子がdeadboltに換えられていましたが、いくつかは拡張子がclassのままになっていることに興味を持ち、試しにそれらを復旧してみて、Javaで「逆コンパイル」してみましたが、どうやらこれらすべてのファイルも暗号化されているために、逆コンパイルができないことが判明しました。犯人は周到に痕跡も暗号化して行ったのだろうと思われます。
こちらについては、どこかに落ち度はないのかと、まだ調査中です。
拡張子がdeadboltに換えられていないファイルを試しにテキストエディタで開いてみると、ほとんどの内容が文字化けで判読不能なのですが、ファイルの最後の方にDEADBOLTという文字が記載されているので、それらのclassファイルもDEADBOLTによって暗号化されていることが明らかだと思われます。
EaseUSでファイルを復旧するのには、何十時間もの時間が必要なのですが、その間にNASとの接続が途切れてしまう問題に悩まされています。NASが定期的に接続を遮断しているのかも知れませんので、その対策も必要です。
EaseUSは、PhotoRecとは異なり、削除されたファイルが元々どこのフォルダにあったファイルなのかや、ファイル名も表示されるのですが、ほとんどのファイルのサイズの表示がゼロになるため、復旧が不可能になっています。これも犯人の仕業であろうと思われます。
ファームウェアのアップデートは有効か
Deadboltの攻撃に対策するために、QNAP NASのファームウェアの更新をするようにとの記事がインターネットのニュース記事に書かれていますが、実際に、この攻撃はファームウェアが最新でも、サーバーのポートが開いていて、外部からアクセスできるようになっている限り、攻撃にさらされるということです。つまり、QNAP NASの根本的な(ゼロデイといいます)脆弱性を狙った攻撃であろうということです。
古いサーバーで応急対応
現在、父は私がかなり以前に設置した古いFedora 7というLinux系のOSのサーバーを再度使用しています。2018年頃までのデータはそこに残っていたので、4年分位のデータが失われたということです。
会社のすべてのデータがなくなるよりは随分ましですし、このサーバーで今のところはなんとか会社の業務も行うことができているようです。
警察署の方に情報提供
来週、香川県警などの警察署の方が父の会社に私の話を聞きに来てくださるとのことで、現在上記のような情報を書き溜めているところです。敵は相当手ごわいので、私などで歯が立つのかどうか分かりませんが、お話しする前に、できるだけ多くの情報を仕入れておきたいと思っています。
References:
