NAS がランサムウェアによるブルートフォース攻撃の標的に

0 Security threats
by

NAS(ネットワークアタッチドストレージ)ベンダーの Synology 社は、サイバー犯罪者が新たなランサムウェアを使用して NAS ベンダーを標的にしていることが明らかになったことを受け、ユーザーに NAS デバイスのセキュリティ設定の確認を求める緊急警告を発表しました。

当初、最近発生している攻撃は Synology 製品に存在する未知のソフトウェア脆弱性が悪用されているのだと考えられていました。しかし、その後当該の攻撃は(はるかに単純ではあるももの効果的な)管理者認証情報に対するブルートフォース攻撃であることが確認された、と同社は述べています。

Synology のセキュリティインシデント対応チームのマネージャーで Ken Lee 氏は次のように書いています。

(引用文日本語訳)これは組織的な攻撃だと考えています。この問題を徹底調査した結果、攻撃者は送信元 IP を隠蔽するためにボットネットアドレスを使用していたことが判明しました。

2019 年 7 月 19 日に発見されたこの攻撃では、インターネット接続している NAS デバイスでよく使われる数多くのパスワードが試されていました。これは、デバイス上のデータを暗号化するのに必要なパスワードを見つけるまで、パスワードを試し続けるという方法です。

この攻撃の最初の兆候は、README ファイルの身代金要求メモです。通常、データを復号化するのと引き換えに、数千ドル相当のビットコインを要求してきます。

送信元 IP を隠すためのテクニックを除けば、これは複雑な攻撃ではありません。ユーザーが特定のセキュリティ設定を確認し有効にしている限り、この攻撃を阻止することは容易です(下記参照)。

ただし、適切に保護されていない NAS への侵入も難しくはないため、すでに多くのユーザーが大量のデータにアクセスできなくなっています。

注意しなければならないのは、これが Synology の NAS デバイスだけを標的にした攻撃ではない点です。他のベンダーの製品に対しても同じ手法が用いられています。

7 月上旬に NAS ベンダーの QNAP 社が影響を受けた攻撃では、ランサムウェア eCh0raix が使用されていました(Synology に対する攻撃でも使用されたと思われます)。eCh0raix については、最初に発見したセキュリティ企業のサイトで詳細情報を参照できます

対策

Synology は基本的な対策を数多くリストアップしています。たとえば、最初に管理者パスワードを長くて複雑なものに変更し、その後でデバイス上のデータにアクセスする全ユーザーのパスワードを同様に変更するといった対策です。

この対策が Synology の NAS で確実に実行されるようにするには、管理コンソールで [管理者がパスワードをリセットした後は、強制的にユーザーにパスワードを変更させます] チェックボックスをオンにします。

次に、[パスワード長の規則を適用する] チェックボックスをオンにします(この設定を有効にすると、ユーザーは「大文字と小文字、特殊文字、数字を混在させる」などのルールに従わなくてはならなくなります)。

Synology は以下を実行することも推奨しています。

  • 管理者グループに新しいアカウントを作成し、「admin」アカウントを無効にします。
  • コントロールパネル自動ブロックを有効にして、ログイン試行の失敗回数が多すぎる IP アドレスをブロックします。
  • セキュリティアドバイザーを実行して、システム内に推測されやすいパスワードがないか確認します。
  • コントロールパネルファイアウォールを有効にすると同時に、必要な場合にのみパブリックポートを許可します。
  • 最後に、2 段階検証(2SV)を有効にします。
  • Synology の一般的なアドバイスに基づいて、クラウドのマルチバージョン管理では同じファイルの同じバージョンまたは以前のバージョンにロールバックできるようにします。さらに望ましいのは、定期的にオフラインバックアップを作成する方法です。

リモートアクセスに関して重要なのは、許可されるべきでない場合には(できれば常時)、RDP 経由でのリモートアクセスを有効にしないことです。

Naked Security は最近の RDP を標的とした数多くの攻撃を記録するとともに、NAS を含むさまざまなサービスにおいて RDP を保護するためのアドバイスを提供しています

本記事で説明した NAS ランサムウェア攻撃を成功させるには、リモートアクセスの保護が不十分である必要があります。つまり、リモートアクセスを阻止すれば、攻撃を防止できます。

是非とも、「SophosLabs 2019 年版脅威レポート」をお読みになることをお勧めします。このレポートでは、ソフォスのセキュリティ研究者がランサムウェアをはじめとする今日のサイバー犯罪の現状を分析しています。

最後になりますが、Sophos Intercept X などのランサムウェア対策テクノロジーの詳細については、sophos.com をご覧ください。

Free tools

Sophos Firewall Home Edition

Boost your home network security.

Sophos Scan & Clean

Free second-opinion scanner for PCs.

Sophos Cloud Optix

Monitor 25 cloud assets for free.