- このトピックには7件の返信、2人の参加者があり、最後に
ukky7272により2018/1/11 at 16:29に更新されました。
-
投稿
-
QNAP NAS製品全般的に、当製品自体がランサムウェアに感染する事はあり得ますか?
先日社内でランサムウェアに感染してしまい、
ネットワーク上のQNAP TS-469 Pro内のファイル全ての拡張子が「.Arena」に書き換わってしまいました。
マイクロデータベースアソシエイツ有限会社(http://mdba.info/)にNASを持ち込んで相談したところ、
NAS自体が感染しているので駆除が必要との事。
NAS全体をフォーマットしてもダメとの事でした。分からない事だらけなので断る理由も見つからず、
詳しい方に見解を聞きたいです。
この業者の診断の信頼性が確認できれば駆除作業を依頼しようと思っています。
Admin
ukky7272さん、
回答が遅くなりまして大変申し訳ありません。
まず回答ですが、「可能性はあります」。ただし、製品に感染という定義が2種類あります。
1つ目として、QNAPのOSであるQTSがランサムウェアに感染する可能性は、非常に低いと思います。ランサムウェア自体が、WindowsやiOSといったユーザー数が多いOSをターゲットにしたほうが効率が良いからで、QNAP自体を狙うランサムウェアは可能性としてはゼロではないですが、あまり無いと考えています。2つ目は、QNAP上のデータがランサムウェアに感染するかという意味では、普段QNAPにアクセスをするクライアントのOS自体がランサムウェアに感染すれば、そのOSがアクセス可能なデータはランサムウェアの影響を受けることになります。これはQNAP自体の問題ではありません。
ただし、データがランサムウェアの影響を受けたとしても、普段から定期的にスナップショット等を取得してデータを保護していれば、感染前のデータに戻すことが可能となります。それが、メディアやITの専門家が言っている、「バックアップを適切に取得することが対策となる」という意味です。
単純に外部記憶装置に定期バックアップを取得という方法では、ランサムウェアの影響を免れることが難しいですが、最近のQNAPのOSであるQTSは、「バックアップのバージョン管理」や「スナップショット」という機能を提供しており、ランサムウェアの感染前のデータを復活させることが可能です。NASでデータを管理するという利点は、こういうところにも有ると考えています。
ukky7272さんの会社がどのような管理をされていたか判りませんが、上記のようなバックアップをしていなければ、データは諦めるしか無いと思います。NAS自体が感染しているのではなく、NAS上のデータを全て削除(フォーマット)が必要ということではないでしょうか。
お役に立てず申し訳ありませんでした。
回答ありがとうございます!
諦めかけていてたまたま覗いて気づきました。
データは感染し、スナップショットも取ってなかったのでデータは諦めることとしますので、
これについては議論から外します。
ランサムウェアにデータを書き換えられてしまった、このNASの今後の運用にご相談です。
ルータはヤマハのNVR500を使用しています。
NASに割り当てているローカルIPは「192.168.1.8」です。NASはとりあえず電源が入っている状態でまだ使用していません。
暗号化されたファイルも残したままです。ルータの「本製品のログ(Syslog)のレポート」を覗くと、下記のようなログが多数出力されていました。(1分間に数十)
2017/11/21 15:51:40: [INSPECT] PP[01][out][200099] UDP 192.168.1.8:6889 > 60.240.117.232:12201 (2017/11/21 15:51:10)このIPを調べるとオーストラリアの様ですが、その他、台湾、ロシア、スペイン・・・と多岐に渡っています。
これはNAS自体が何かに感染していると考えられるでしょうか?
これを止めるにはどうすれば良いでしょうか?
Microsoftネットワーク向けのファイルサービスのみ有効にしておりその他は無効にしてある(つもり)です。原因を突き止めて解決する方法はありますか?
ディスクのフォーマットで十分でしょうか?ディスクも交換すべきでしょうか?
本体の初期化もすべきでしょうか?結論としては、NASを工場出荷時に初期化、全ドライブのディスクを新品に交換してから再運用すつもりですが、
せっかくの機会ですから知識を深めたいと思っておりますゆえ、本来どうすべきかアドバイスいただければと思います。Admin
ukky7272さん
データの件、お悔やみ申し上げます。
さて、運用の方ですが、結論から言うと全てHDDをフォーマットして、QTSも全て入れなおした方が良いかと。多分何もQNAPのユニット上、変わったところは無いと思いますが、気分的にも全てリフレッシュした方が気持ちが晴れるでしょう。全てリフレッシュして、次に同じような被害に合わないための対策に注力した方が良さそうかとは思います。
さて、データ送信の件ですが、多分Download Stationが送信元だと思われます。
DownloadStationにはBitTorrentというテクノロジーが搭載されており、送信元ポートの6889はBitTorrentで通常使用されるもので、そのための通信がされているかと思われます。または、何かQPKG等が導入されて稼動していませんか?同じく、BitTorrent機能を搭載したQPKGもいくつか存在します。送信先が各国になっているのは、BitTorrentのサーバーが各国にあるためです。ukky7272さん以外でも、どなたかQNAPを使用されているユーザーの方がDownloadStationを使用している可能性があります。Appセンターにて一度、関係していそうなQPKGを全て停止してみてください。
その他、考えられる最悪のケースとしては、最初に感染したWindows等を経由して、QNAPに対するAdmin権限を使ってQNAP自体に何か細工をすることは可能です。ここまでくるとランサムウェアの自律的な行動ではなく、人為的にクラッカーに狙われた可能性が高いですが。その場合はQPKG等ではなく、Linuxのプログラムを直接仕込まれているかとは思います。
よろしくお願いします。
Admin
補足ですが、BitTorrentは、いわゆるP2P型のアプリケーションで、「Winny」や「Share」「WinMX」「Gnutella」等と同類のものです。BitTorrentで取得できるデータには、ウィルスやランサムウェアの感染源になるものが多く存在します。もしかしたら今回の感染も、それらダウンロードしたデータが元かもしれません。
また、これらアプリケーションを使用するということは、P2Pネットワークに参加することとなり、データの拡散に協力している事になる点もご注意ください。(今回の発信しているデータはそれだと思われます。)
非常に便利な側面もありますが、そのあたりをご理解の上でご使用されると良いかと思います。
ありがとうございます!
詳細なご説明、大変感謝してます。原因を突き止めて解決する場合の情報として、
BitTorrentなどをAppセンターで確認すれば良いという事で理解できました。驚いたのは、「Admin権限を使ってQNAP自体に何か細工をすることは可能」という事です。
それを管理画面上から発見することが可能なのか(例えばリソースモニタのプロセス等を見る人が見れば分かるのか)、
知りたいところではありますが、
問題があってもなくても、いずれにしてもクリアするにはどうすれば良いでしょう?具体的には、
コントロールパネル→システム設定→工場出荷時設定の復元をするのだと思いますが、
以下の3択の内、最強はどれですか?
「工場出荷時初期値の復元とすべてのボリュームのフォーマット」「設定リセット」「NASの再初期化」HDDはフォーマットさえすれば、あえて交換しなくても大丈夫ですかね?
マスターブートレコードに感染するとフォーマットしてもダメ、、、とか更に専門的な事をご存知でしたら教えてください。
いずれにしてもこの機会に容量アップを兼ねてディスクは交換します(既に購入済み)
外したディスクを別のPCで再利用して問題ないかに関わるので知っておきたいところです。質問ばかりで申し訳ありません。
可能な範囲でお願いいたします。Admin
QNAPの初期化は検索するといくつか紹介しているサイトがありますね。
ご使用のユニットに合わせて、対応いただければ良いかと思います。https://www.forcemedia.co.jp/support/qa/qnap/004175.html
なお、QNAPに限らず、Admin/Root権限が使用可能であれば、知識のある方であれば大抵の事は可能です。
それを発見可能かどうかも、見る方の知識次第です。なので一般的には考えなくて良い内容です。HDDのMBRに感染しているというのは、相当こじらせている状態です。
基本的にはフォーマットして使えば問題ないのではないかと思いますが、気になるようであれば専門の方に見ていただいて下さい。ありがとうございました。大変参考になりました。
- このトピックに返信するにはログインが必要です。