QNAPだけを標的にするマルウェア『QSnatch』

「QNAP NASを標的とするマルウェア『QSnatch』の感染が広がっている」というニュースが数日前にネットのメディアに出ていましたので、注意喚起としてブログに掲載します。

QNAPは、2019年11月にセキュリティアドバイザリを出しており、最新OSへのバージョンアップとマルウェア削除ツールであるMalware Removerのインストール/アップデートを推奨しています。
対策されていないユーザーも多くいるようですが、QNAP NASを安心してご利用頂くために、マルウェア対策は必ず実施しましょう！

• セキュリティアドバイザリ (NAS-201911-1) の参考訳

• 英国 国家サイバーセキュリティセンター (NCSC) による注意喚起・・・2020年7月27日公開 (英語)

• 米国 サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) による注意喚起・・・2020年7月27日公開 (英語)

QSnatchについて

QNAP社製のNAS (QTS OS)を標的にし、感染したQNAP NASからログイン資格情報やシステム構成などの機密情報を収集します。情報を窃取された後、以下のような事象が発生する可能性があります。

1. 悪意のある動作を改ざんする可能性があるため、アプリケーションとファームウェアが更新を適用しないようにします。
2. ユーザーがPCにこのプログラムをインストールしてしまった場合、QNAP MalwareRemoverアプリケーションを無効にします。
3. 攻撃者のC＆Cサーバーから、さらなる新しいマルウェアを持ち込みます。
4. アクティブな時間ベースのジョブスケジューラ（cronjobs）とinitファイル（ブートプロセスの一部として必要なプロセスを開始するために実行される初期化スクリプト）の変更します。
5. 感染したホストに存在するすべてのログイン資格情報とシステム構成ファイルを収集し、それらをオペレーターのC＆Cサーバーに転送します。

対策・・・QTS & アプリケーションは常に最新に

1. QTSを最新バージョンにアップデートする
   
2. マルウェアリムーバー(Malware Remover)をインストールし最新バージョンにアップデートする
3. セキュリティカウンセラー(Security Counselor)を最新バージョンにアップデートする
4. App Centerで入手可能な場合はインストール済みQTSアプリケーションを最新バージョンにアップデートする
5. セキュリティを高めるため以下設定を行ってください。

a. 管理者パスワードを変更する
b. 他のユーザーパスワードを変更する
c. 強固なデータベースルートパスワードを使う
d. 不明もしくは疑わしいアカウントを削除する
e. 外部攻撃からアカウントを守るためネットワークアクセス保護を有効にする
f. SSHとTelnetサービスを利用していない場合は無効にする
g. WebmasterとSQLサーバーもしくは phpMyAdminアプリケーションを使用していない場合は無効にする
h. 誤動作や不明など疑わしいアプリケーションは削除する
i. 「22, 443, 80, 8080や8081」などのデフォルトポート利用を避けてください。
j. オートルーター設定、公開サービスやmyQNAPcloudでのアクセスコントロールを制限してください。

各手順の詳細は、セキュリティID NAS-201911-01 をご参照ください。

OSやアプリケーションをバージョンアップをせずに長く利用を続けているケースは多いと思います。安定稼働しているシステムをあまり触りたくない、再起動を伴うバージョンアップ作業を頻繁にできない、あまり気にしていないなど、理由はさまざまですが、セキュリティ脆弱性へのほぼ唯一の対策は最新版へのバージョンアップです。

何年も同じOSバージョンを使い続けている場合、そこから最新バージョンにジャンプアップさせると思わぬ不具合が起きる可能性もありますので、日頃から最新OS、アプリケーションにすることを強く推奨します。

2020/7/30 NS