Eri Wildeの那由多ブログ

エリワイルド(Eri Wilde)のブログです。 本名は福田英里子です。東京外国語大学外国語学部英米語学科卒。英語講師、日本語講師、通訳、香川せとうち地域通訳案内士、翻訳、SE、占い師、心理カウンセラー、YouTuberをしています。二人の兄弟の母親です。音楽(ピアノやウクレレの弾き語り)、アートなど多趣味です。次男は発達障害です。 お仕事のご用命は下記のメールアドレスまで宜しくお願い致します。eriwilde0@yahoo.co.jp

ランサムウェアの攻撃からQNAPのNASを守るために

IT Deadbolt

QNAPのNASのゼロディ脆弱性への対策方法

こちらのブログにランサムウェアのDeadboltからの回復方法を書き始めてから、被害者の方のサポートを遠隔操作でさせて頂く機会がありました。

その結果、QNAPのNASは、使っているルーターの設定によっては、購入後そのままLANケーブルを繋げただけで、HTTPポートが自動的に開放され、世界中にWebサーバーとして公開されてしまうことがあるという、恐ろしい事実が判明しました。

というのは、父の会社のサーバーは、リモートワークを可能にするために、意図的にポートを開放していたので、そのことが原因だったと私は思っていたのですが、実は問題はもっと深刻であることが分かったのです。

現在これほどまでにDeadboltの攻撃の被害が増加しているのは、QNAPのNASUPnPの初期設定が、有効になっていることが主な原因であることが分かりました。

通常、HTTPポートを開放しただけでは、公開されるフォルダのパスが違うため、ファイルサーバーの中身を見ることはできないはずです。しかし、QNAPのNASは、UPnPが初期設定のまま有効になっていると、ハッカーがHTTPポートから侵入し、SHなどの他のポートも開放させ、権限昇格して、本来外部からは入れないはずのフォルダにプログラムを保存したり、ファイルサーバーのファイルを暗号化したりできるようになるのです。

これがいわゆる「ゼロデイ脆弱性」です。

私がサポートしたお二人の被害者の方はお二人とも、サーバーがWebサーバーとして世界のネットワークに公開されていたことを認識していませんでした。

恐らく、日本には、まだまだこのようなユーザーはたくさんいらっしゃるのではないかと推察します。

私は、被害者をサポートするよりも先ず、これ以上被害者が出ないように、情報を提供することが大切だと思いましたので、この記事を書くことにしました。

QNAPのNASに保存されたファイルをランサムウェアの攻撃から保護するために、これだけは確認して欲しい設定について、こちらでお知らせしたいと思います。

QNAPは、Deadboltランサムウェアの被害が拡大する中、ユーザーにファームウェアの更新を呼びかけていますが、たとえファームウェアが最新の状態でも、こちらに記す初期設定が修正されない限り、攻撃のターゲットになるリスクは依然として高いままであるということを、特に強調してお知らせしたいと思います。

ランサムウェアの被害に遭われた方も、そうでない方も、下記の設定のご変更を強く推奨いたします。

システムのUPnPを無効化する

1.ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、左側の欄の[ネットワークサービスとファイルサービス]をクリックします。

2.[サービス検出]をクリックし、「UPnPサービスを有効にする」をオフにして[適用]をクリックします。

MyQNAPcloudのUPnPを無効化する(MyQNAPcloudがインストールされている場合)

1.MyQNAPcloudのアプリを開き、[自動ルータ構成]をクリックします。

2.「UPnPポート転送を有効化」をオフにして[適用]をクリックします。

システムポートを変更する

1.ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、システムの[全般設定]をクリックしてください。

2.システムポートを、8080以外の数字に設定してください(8181など)。

 

※9月8日追記

上記の他に、比較的新しい型式のNASを使っている場合、ルーターUPnPを有効にしていると、NASのダウンロードセンターのBTというプロトコルがポート6881で解放されてしまいますので、NAS側でBTの接続設定の4つのチェックを外した方が良いかと思われます。BTというのは、ファイルシェアリングソフトのBitTorrentプロトコルです。NASをLANに繋いだだけで、NASBitTorrentが起動してしまうというイメージです。余り気持ちの良いものではないですね。

 

Deadboltランサムウェアからの回復後にするべきこと

さらに、Deadboltの攻撃を受けたファイルを復旧後、NASのハードディスクドライブを入れ替えたり、初期化したりしない場合、最新のファームウェアをインストールしてNASを再起動した後、下記のアプリに関する操作をお薦めいたします。

Deadboltはどうやら、NASのApp Center、特に、Helpdeskのアプリを破壊し、新しいアプリのインストールを妨害するようです。ですから、まずはHelpdeskのアプリを再インストールしてください。

Helpdesk アプリを再インストールする

1.App Centerから、Helpdeskのアプリを削除してください。

2.NASの管理画面トップの左上の三本線のドロップダウンリストから、ヘルプセンターを選択すると、ヘルプデスクが右端に表示されますので、[インストール]をクリックしてください。

Malware Removerをインストールしてスキャンする

上記を行った後しばらくすると、Malware RemoverがApp Centerで検索できるようになるはずですので、インストールしてください。デフォルトで1日に一度スキャンが行われるようになります。

NASのバージョンによっては、Security Counselorというアプリがインストールできますので、できる場合はインストールをお薦め致します。

上記の設定やアプリのインストールを行うことで、ランサムウェアの攻撃を回避することが期待できます。

日本でのQNAPのNASへのランサムウェアの被害が少しでも減ることを願いつつ、この記事をアップしたいと思います。