2021年4月末、Qlockerが猛威を振るっています。海外のセキュリティーサイトの情報によると、4月26日時点で、525人で258,494ドル、日本円にして2,800万円の身代金が支払われたそうです。
何で身代金を支払うんだろう…、と以前は思っていました。しかし、ランサムウェア被害の当事者になってみると、支払った方々の気持ちがよく分かります。詳細は「QNAP NASがランサムウェア感染しました」をご覧ください。
ランサムウェアの被害をこれ以上出さないために対応策を残します。被害者になる前に、QNAP NASに最低限の対応策を実施してみませんか。
Qlockerに感染している調べる方法
ここで紹介している対応策を実施する前に、ご自身のNASがランサムウェア (Qlocker)に感染していないか確認してください。感染した状態で、NASをシャットダウンや再起動してしまうと、データの復元が絶望的になります。
感染しているか調べる方法ですが、最初にチェックするのはNASに保存しているファイルが、拡張子7zになっている、フォルダ内に「!!!READ_ME.txt」がある場合は残念ながら感染していると判断できます。
具体的には、QNAPアプリの File Stationで「!!!READ_ME.txt」で検索するのが簡単です。
至急、データ復元するための行動をしてください。下記が参考になるかと思います。
-
QNAP NASがランサムウェア感染、7z化から復旧できる条件とは?
タイトルの通りでございます。所有しているQNAP NASの1台がランサムウェアに感染しました。2021/04/22あたり ...
「!!!READ_ME.txt」が見つからなかった方は、続いて、QNAPのマルウェア検出除去アプリ「Malware Remover」の最新版をダウンロード(or 更新)して、スキャンしてください。
異常があった場合は、テクニカルサポートに連絡しつつ、下記をご覧ください。公式サイトの対応方法で分かりづらい部分を補足してあります。
-
QNAP NASがランサムウェア感染、7z化から復旧できる条件とは?
タイトルの通りでございます。所有しているQNAP NASの1台がランサムウェアに感染しました。2021/04/22あたり ...
異常がなければ、現時点では感染していません。ここで一息ついてもらったら、以降のランサムウェア Qlockerの対策を実施しましょう。
ランサムウェア Qlocker に感染しないための3つの予防対策
1.外部からの直接アクセスを遮断する
消えて困るような重要なデータは外に出してはいけません。今回、ランサムウェアの被害にあって痛いほど分かりました。重要なので繰り返します。重要なデータは外に出してはいけません!
外部からNASにあるデータを利用したいときは、VPNやmyQNAPcloud経由で利用してください。もしくは、重要なデータを保存するNASとは別に、外から利用する専用のNASを用意しましょう。
まずはUPnP ポート転送の使用を止めます。メニュー -> myQNAPcloud -> 自動ルータ構成を開いてください。「UPnPポートフォワーディングを有効にする」のチェックを外します。
2.脆弱性の恐れのあるアプリを更新する
QNAPのセキュリティ情報によると、
メモ
- 特定バージョンのMultimedia Console、Media Streaming Add-onに、外部からアプリケーションの情報取得が可能な脆弱(ぜいじゃく)性(QSA-21-11 / CVE-2020-36195)
- 特定バージョンのHBS 3 Hybrid Backup Syncに、外部からログインが可能な脆弱性(QSA-21-13 / CVE-2021-28799)
SQL Injection Vulnerability in Multimedia Console and the Media Streaming Add-On - Security Advisory | QNAP
Improper Authorization Vulnerability in HBS 3 Hybrid Backup Sync - Security Advisory | QNAP
つまり、上記の脆弱性をついて不正にQNAPに侵入して、7z形式の暗号化圧縮するようです。問題となる3つのアプリを最新に更新しましょう。
- Multimedia Console
- Media Streaming Add-on
- Hybrid Backup Sync(HBS)
メニュー -> AppCenter->マイアプリ を開いて、最新になっているか確認します。もし更新の適用が終わっていないようでしたら、更新してください。
3.ファームウェアを最新版にする
ランサムウェアに感染して慌てている人のためにひと言。
ランサムウェアに感染した状態で、ファームウェアを適用して再起動してしまうと、データの復元の可能性がゼロになります。ファームウェアの適用はしないでください。
QNAPのファームウェアで起動しなくなったという話を聞くことがありましたが、僕は一度もありません。セキュリティーに関するアップデートが含まれていますので、できる限り最新にしておくべきです。
メニュー -> ControlPanel ->システム -> ファームウェア更新 を開きます。下図のような状態であれば、更新してください。
QNAP テクニカルサポートについて
QNAPのサポートサイトからテクニカルサポートを受けられます。
現在、ランサムウェアの問題で。混雑しているようです。回答までに3日間かかりました。
日本語で問い合わせできます。しかし回答は英語です。日本語訳を付けてくれてますが、自動翻訳のため分かりづらいです。
そのため意思疎通が難しいです。今回のような込み入った話になると、今日本人のオペレーターに対応してもらえると安心できます。この点は、QNAPが日本でシェアを拡大していくにあたっての課題だと思います。
ではでは。