KuriKumaChan’s diary

Kuri ちゃんと Kuma ちゃんの飼い主の独り言

QNAP からのお知らせ - QNAP の NAS をターゲットにしたマルウェア "DeadBolt" への対応をする

愛用の NASのメーカー QNAP からは結構頻繁にメールが配信されてきます。普段は新製品情報が多いのですが、今日は下図のように、
「NASをインターネットへ公開することをやめてください」
と高いアテンションを呼びかけるタイトルでしたので、内容をちゃんと読んでチェックしてみたら自分の NAS にもリスクが残っていることが分かり対応した、というお話です。
ちなみに自分の作業メモも兼ねているので時系列にぐだぐだ書いていますが、結論を言えば QNAP の Security Counselor と言うアプリを NAS に導入して、お勧めの対応をまとめて実行するボタンを押して対応完了できました。

QNAP からのお知らせ

普段 QNAP から届く情報はビジネスユースの製品情報が多いです。たまに 10GbE とキャッシュの新しい安価なカードが発表された、くらいの情報だとチラッと目を通す事はありますが、大抵は個人利用のユーザーには「砂場遊びに重機」という感じなのでスルーすることが大半です。ところが今日は
QNAP NASを安全にご使用いただくために迅速な対応を。NASをインターネットへ公開することをやめてください
とのタイトルでしたので、何事かと思いました。
ブログネタにもしているように、NAS から外部への接続は AWS にバックアップしているように普段から利用していますが、外部から NAS へのアクセスと言うと、会社勤めしていた頃設定したままになっている Cloud Link (外からも家の NAS にアクセスできるようなる)の設定が気になりました(念の為に補足しておくと、業務上の資料を自分の NAS に保存することなどやっていませんし、会社のネットワークから自分の家の NAS にアクセスするような怪しげな行為は行っていません!)。

f:id:KuriKumaChan:20220126211725p:plain
QNAP から届いたメール。「QNAP NASを安全にご使用いただくために迅速な対応を。NASをインターネットへ公開することをやめてください」

New DeadBolt ransomware targets QNAP devices, asks 50 BTC for master key - 日本でも被害報告が!

メールのタイトルを読んだだけで新種のハッキングかマルウェアだとは分かりましたが、本文の最初にも

QNAP® Systems, Inc. (QNAP) は本日、新種のランサムウェア「DeadBolt」に対応する声明を発表しました。DeadBoltは、保護されていないインターネット公開したすべてのNASを標的にし、ユーザーのデータを暗号化してビットコインの身代金を要求しています。

と書いてあります。

www.bleepingcomputer.com

どれほど広まっているのかと思い、Google で検索するとどうやら QNAP 製品のみをターゲットにしているためかほとんど情報が出てきません。上の記事と QNAP 自身が発表した記事くらいしか見当たりませんでした。   まぁ、QNAP にのみならず大抵の NAS は Linux ベースのストレージサーバーに他ならないので、当然こうしたマルウェアは出てくるのでしょう。しかも大切なデータを保存してあるに違いない NAS を標的にするなんてランサムウェアとしては当然の目の付け所。
しかしまさか日本では被害出ていないだろうと思って試しに Twitter で dealbolt を検索したらなんとすでに被害が報告されていました!

対応方法

メールに確認方法が書いてあります。QTS (NAS の OS) は確か先月更新してから1ヶ月くらい経つのですが、すでに最新版が出ていましたのでまずは何より先に QTS を更新。
QTS の更新が終わったところで落ち着いて確認を進めます。

Security Counselor で NAS がインターネットに公開されているかを確認

Cloud link は気になりますが、QTS の更新が終わったらまずはメールに従って進めます。
どうやら "Security Counselor" と言うアプリ(NAS 上で稼働するアプリはたくさんあるのです。だからこそマルウェアも入り込むことができるのでしょうね)でチェックするようなのですが、私は導入していなかったので、App Center アプリから "Security Counselor" を導入。ついでにいくつか更新が出ているアプリもあったので合わせて更新。
さて、メールでは "Security Counselor" を起動してそのダッシュボードに以下の表示があったら「NAS がインターネットに公開されている」と考えよとのこと。

ダッシュボードに「システム管理者サービスは、以下のプロトコル経由で外部IPアドレスから直接アクセスできます。HTTP」

f:id:KuriKumaChan:20220126221209p:plain
QNAP のメールから借用した画像。垢枠内に "HTTP" の表示があったらまずい

Security Counselor でセキュリティポリシーを選択する - え!

てっきり Security Counselor を導入して起動さえすればダッシュボードやらが表示されるのかと思ったら、まずはセキュリティポリシーを設定せよと。後でも変更できるようなのでまずは初級から。

f:id:KuriKumaChan:20220126221801p:plain
Security Counselor 初回起動時に求められるポリシーの選択 - とりあえず「初級」を選んでみた
ポリシーを選択したらダッシュボードが表示れるかと思ったら(当然だけれど)スキャンを実行しろ!と。そりゃそうだよね。

f:id:KuriKumaChan:20220126221917p:plain
スキャンボタンから実行
うちの NAS 構成だと 5分もかからずにスキャンは終わり、以下の表示。

f:id:KuriKumaChan:20220126223255p:plain
スキャンが終わった!

お、「中リスク」だって。「高」じゃないからよかったのかな?
などと安心していたのですが、よーくメールにあったサンプル画面を見てみると、"HTTP" の文字があるのは Medium risk 項目にカーソルを当てて表示されたポップアップメッセージの中らしい。

f:id:KuriKumaChan:20220126223954p:plain
え! "HTTP" の文字が!
ダメじゃん!

メールの指示に従おうとするが

実際には HTTP が公開されていたから絶対ダメ、と言うことでも無いようで、メールの指示では以下のステップの対応をせよと書いてありました。

ステップ 1:ルーターのポートフォワーディング機能を無効にする
ステップ 2:QNAP NASのUPnP機能を無効にする

ステップ 1 はどうやら NAS の設定ではなく家のルーター側の設定を変えろ(もしくは変更しろ)と言っているようです。んー、家のルーターは Nuro から借用中のやつ。その設定があるかどうかわからないし、今(もう夜)に慌てていじりたく無いので、なんとか QNAP 側の Midium risk を一つ一つ潰していくことにしました。

Security Counselor はまとめて対応してくれた

仕方がないので、びっくりマークが付いている 中リスクを一つ一つ対応していくことにしました。どう考えても変更しておいた方がよさそうな署名なしアプリの実行許可とか、不要な外部向け Web サーバーとか disable していったのですが、Cloud Link はどうしたものかと逡巡。肝心のシステム管理者サービスの HTTP サポートはクリックしても対応方法が表示されずこれまた悩んでしまう。しかし再度 Cloud Link の項目を見ると、「提案を採用する」(だったと思う)ボタンがあり、これを押したら全ての対応を一括実行!(残念ながらボタンの画像を残していなかった。。。)

f:id:KuriKumaChan:20220126225956p:plain
中リスクが無くなった!
Cloud link の詳細な影響とか確認せず実行してしまいましたが、実際に日本で被害にあった方もいらっしゃると言うことなので、まずは安全サイドに対応してみました。 ちなみにセキュリティポリシーを「中級」に設定してスキャンしてみましたが、まぁ対応可能なものばかりなのですが、とりあえず今日は「初級」で満点もらえたからよかったとします。