最近、QlockerランサムウェアがQNAP NASに対し、敵対的な動きを始めており、当社の大切なお客様にご迷惑がかかり、データ損失が発生する事態となっております。QNAPは、この件により当社のお客様が大変お困りになっていることを認識しています。ソフトウェアの問題に対してタイムリーに修正済みソフトウェアを提供し、関連情報を発表することがQNAPの最優先事項であることはもちろんですが、当社は自社製品に備わるセキュリティ機能に対する責任を改めて認識し、機能の継続的強化に一層努力いたします。お客様におかれましては、すべての人にとってインターネットが安全な存在になるよう、ランサムウェアに対抗していくという目標に向かう当社の取り組みにご賛同いただきたくお願い申し上げます。

事態に関するご説明

2021年4月16日にQNAPは、Hybrid Backup Sync (HBS) アプリの更新バージョン (16.0.0415) をリリースし、新機能を追加すると共にQNAPセキュリティ アドバイザリQSA-21-13に記載されているセキュリティ上の問題に対応しました。4月21日には、ランサムウェア攻撃について、お客様からの報告を受け取り始めました。続いて最初の調査の後に、Qlockerランサムウェアは、インターネットに直接接続されている修正が適用されていないQNAP NASに対し、HBSの修正済み脆弱性のひとつを悪用していることが確認されました。

攻撃者は、HBSの修正済みの脆弱性を利用しています。マルウェアはこの脆弱性を悪用し、対象のQNAP NASに対する権限を不正に取得します。NASが乗っ取られると、攻撃者はシステムに悪意のあるコードを挿入し、すべてのスナップショットを削除してから、通常のファイルで使用されるために組み込まれている7-Zipユーティリティを用いてユーザーファイルをパスワード付きで圧縮します。暗号化が開始された後、Qlockerは脅迫文を残して自らを消し去り、その後の調査を困難にします。

初期に報告された事例から当社が得た限定的な情報に基づき、マルウェアの動きを発見してそれを止めるため、QNAPはQNAP NAS Malware Removerアプリに対する検出ルールの更新版をリリースしました。さらに、圧縮が進行中の場合に暗号鍵を取り出す動きをする短いスクリプトを追加しました。

それに続いて4月22日に、QNAPは製品セキュリティニュースを出し、当社のお客様に対して実際の攻撃経路が明らかになる前に最近リリースされた更新をすべてインストールするようお客様にお願い致しました。また、経路が判明してからは、Malware Removerルールを再度更新し、修正が適用されていないQNAP NASに対して、問題があるHBSのコードを隔離するようにしました。

症状

• 感染しているが発症していない場合
  
  • Qlockerに感染したQNAP NASには特に異常は見られません。
• 発症している (暗号化が進行中) 場合
  
  • Qlocker がアクティブになっており (暗号化/圧縮が進行中)、ユーザーファイルの拡張子がひとつずつ「.7z」になります。リソースモニターで見ると、7zプロセスがシステムリソースを異常に使用しています。
• 発症した後 (暗号化が終了)
  
  • Qlockerがその悪意ある行動を終えた後 (暗号化/圧縮が完了)、全ユーザーファイル (サイズが20MB未満) の拡張子が「.7z」になります。脅迫文 (暗号化されていないテキストファイル) がQNAP NAS上に作られます。

Qlockerに対するQNAPの対応の経緯

• 2021年3月19日
  
  • HBSのセキュリティ問題が報告される。
• 2021年4月16日
  
  • 現行バージョンに対して、修正が適用されたHBSアプリをリリース。更新を適用していないお客様が攻撃されるのを防止するために、対応するセキュリティ アドバイザリの公開時期を調整しました。
• 2021年4月21日
  
  • ランサムウェア攻撃について、お客様から報告が寄せられ始まる。直ちに調査を開始。
• 2021年4月22日
  
  • Qlockerの暗号化/圧縮を停止させるよう、Malware Removerの検出ルールを更新。プロダクトセキュリティニュースを発表し、対応するセキュリティ アドバイザリを同日に発表。
• 2021年4月23日～25日
  
  • 世界中のQNAP技術サポートスタッフが24時間休みなく、感染したお客様と連携してQlockerの確認と除去を行い、あらゆる手段を用いて対応を実施。
• 2021年4月26日
  
  • 修正が適用されていないQNAP NASで実行することで、問題のHBSコードを隔離する、Qlockerに対応したMalware Removerの検出ルールを追加。

Malware Removerのスキャンが行うこと

• Qlockerに感染した (まだ発症していない) QNAP NAS上でMalware Removerのスキャンを実施することにより、Qlockerの悪意あるコードは除去されます。修正が適用されていないバージョンのHBSが見つかった場合には、問題のあるHBSコードは削除されます。
• Qlockerが発症している (暗号化/圧縮が進行中) QNAP NAS上でMalware Removerのスキャンを実施することにより、暗号化/圧縮が停止します。スキャンでは、攻撃で用いられる暗号鍵の取り出しも行われます。修正が適用されていないバージョンのHBSが見つかった場合には、問題のあるHBSコードは削除されます。
• Qlockerによる攻撃を受けた (暗号化/圧縮が終了) QNAP NAS上でMalware Removerのスキャンを実施することにより、修正が適用されていないバージョンのHBSが見つかった場合には、問題のHBSコードは削除されます。

Malware Removerの動作に対しては、対応するシステムイベントログが生成されます。

Qlockerに対してお客様ができること

すべてのお客様に対してQNAPが強く推奨するのは、QNAP NASがインターネットに接続されている場合、Malware Removerのスキャンを行うことです。Malware Removerはその検出ルールを最新バージョンにした後、QNAP NASがQlockerランサムウェアの影響を受けているかどうか、およびHBSの問題点が修正済であるかどうかを検出します。

ご注意いただきたいのは、QNAP NASをインターネットに接続する方法がシステムの全般的なセキュリティに影響するということです。安全に実施するために、次のセクションに挙げている一般的な推奨事項をご参照ください。

さらに、

• 暗号化/圧縮が進行中または終了
  
  • お使いのQNAP NASがQlockerに感染している場合、暗号化/圧縮の状態いかんに関わらず、NASのシャットダウンや再起動は行わないでください。NAS OSの更新も行わないでください。前述のMalware Removerスキャンを手動で実行し、すぐにQNAPテクニカルサポートにご連絡ください。QNAPがお客様のQNAP NASを検査し、お客様のファイルが取り戻せるかどうかを判断します。
• 感染しているが発症していない場合
  
  • Malware RemoverがQlockerを発見し、それをお客様のQNAP NASから除去した場合、お客様のファイルに影響は及んでいません。速やかに一般的な推奨事項に挙げている対策を実施してNASのセキュリティを高めてください。
• 感染していない場合
  
  • Malware Removerが、お客様のQNAP NAS内にQlockerの存在を認めない場合でも、速やかに一般的な推奨事項に挙げている対策を実施してNASのセキュリティを高めてください。

一般的な推奨事項

インターネットからお使いのQNAP NASに接続するためのお勧めの方法は、QNAPが提供しているmyQNAPcloud Link機能を利用することです。myQNAPcloud Linkを有効にするには、複雑な設定は不要です。それ以外のお客様については、QNAP NASをインターネットに直接接続しないことを強くお勧めします。これによりQNAP NASのセキュリティが高まります。お客様は、お使いのルーターでVPNサーバーサービスを有効にすることをお勧めします。インターネットからQNAP NASにアクセスするには、まずお使いのルーターにVPN接続をしてから、VPN経由でQNAP NASに接続します。これによりNASは侵入されにくくなり、攻撃の可能性が減少します。詳細は、QNAPのブログ記事をご参照ください。https://blog.qnap.com/ja/nas-internet-connect-ja/

QNAPが広範囲に調査を実施している最中ですが、お客様にご自身のQNAP NASをサイバー攻撃から防御してより安全にお使いいただくための一連の操作を用意しています。それには次のものが含まれます。

• 自動更新を有効にするか、またはOSおよびアプリの更新を手動で定期的にチェックする
• 3-2-1バックアップ戦略を参考にし、QNAP NASに保存されているファイルをバックアップする
  
  • ご注意：RAIDやスナップショットといったデータ保護機能を有効にしている場合でも、QNAP NAS内にだけファイルを保存していると、さまざまなリスクを考えた場合にはデータの保護は十分ではありません。RAIDはディスク障害に対応する保護であり、スナップショットはお使いのPCがランサムウェア攻撃にあった場合の保護手段です。ファイルの安全性と健全性を確保するために、NASデータをバックアップするか、あるいはお使いのQNAP NASに保存されているバックアップファイルをバックアップしてください。
• NASのセキュリティを向上させるためのセキュリティ設定に関しては、このQNAPのブログ記事の後半にある推奨を参考にしてください。https://blog.qnap.com/ja/nas-internet-connect-ja/
• QNAP IDにサインアップし、QNAPのセキュリティアドバイザリーを購読して最新のセキュリティ更新情報を受け取ってください。https://account.qnap.com/

謝辞

QNAPはこの場をお借りして、台湾の情報セキュリティ企業であるZUSOの貢献を讃えます。同社はこの問題を報告し、事態の対応に協力をいただきました。QNAPは今後もZUSOおよびその他のセキュリティ調査会社/チームと協働し、QNAPの全製品のセキュリティと保護機能を高めていきます。

N

QNAP Club Japan!の管理人です。
TVS-472XTを使用中。

www.qnapclub.jp/