Comparisons Brawte nfaq 0 Comments

データ窃取、パスワード収集、バックドア開放を行うQNAP NASマルウェアが6万2000件の感染で猛威を振るう

Table of Contents

データ窃取、パスワード収集、バックドア開放を行うQNAP NASマルウェアが6万2000件の感染で猛威を振るう

米国と英国政府は本日、約62,000台のQNAPネットワーク接続ストレージ(NAS)ボックスが現在、データを盗むQSnatchマルウェアに感染していると警告した。

アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)とイギリスの国家サイバーセキュリティセンター(NCSC)の共同声明によると、10月に初めて発見されたこのソフトウェアマルウェアは、2020年6月中旬時点で数万台のコンピュータを乗っ取っており、「特に北米とヨーロッパで感染数が多い」という。乗っ取られたQNAPボックスはアメリカで7,600台、イギリスで3,900台と推定されている。

状況が特に厄介なのは、台湾に拠点を置くQNAPが、私たちの知る限り、マルウェアが脆弱な機器に侵入する具体的な方法を公表しておらず、将来の感染を防ぐために最新のファームウェアをインストールするようアドバイスしているだけだからだ。メーカーのサポートデスクとのやり取りから判断すると、ファームウェアにはおそらくオペレーティングシステムレベルまでリモートから悪用可能な脆弱性があり、これは11月に修正されたようだ。

CISAとNCSCも何も分かっていない。最新のファームウェアにはマルウェアスキャナーが搭載されている。

もうひとつの悩みの種は、マルウェアがNASボックスに侵入すると、将来のファームウェアアップデートのインストールをブロックする可能性があることです。そのため、まだ脆弱なバージョンを実行している場合は、正常にアップグレードできるように、デバイスを工場出荷時の状態にリセットしてクリーンな状態にしておくことをお勧めします。

帽子とネクタイをつけた漫画の男性。顔の特徴が疑問符に置き換えられています。

NASを保護しましょう:QNAPは謎のマルウェアを認識していますが、まだパッチはリリースされていません

アーカイブから

QSnatchは、SSHやWebシェルなど様々なバックドアを開き、攻撃者が遠隔地からログインできるようにすることから、このように呼ばれています。また、ストレージマシンからデータを盗み出し、認証情報を収集することも可能なので、社内ネットワークには絶対に持ち込みたくないものです。例えば、NASボックスにパッチを適用したとしても、認証情報が再利用されていたり、侵入後に変更されていない場合、盗まれたユーザー名とパスワードで再ログインしたり、組織の他の部署にアクセスしたりされる可能性があります。唯一の朗報は、セキュリティ機関の声明によると、このマルウェアを制御するバックエンドシステムは現在稼働していないということです。

「デバイスが感染すると、攻撃者は管理者が必要なファームウェア更新を正常に実行できないようにすることが知られている」とCISAとNCSCは警告した。

そのため、組織は自社のデバイスが過去に侵害を受けていないことを確認することが極めて重要になります。脆弱なバージョンを依然として使用している組織は、ファームウェアのアップグレードを完了する前に、デバイスを完全に工場出荷時の状態にリセットし、脆弱性が残らないようにする必要があります。

最新のアップデートがインストールされていることを確認するための通常のチェックは引き続き適用されます。再感染を防ぐため、この推奨事項は、以前にQSnatchに感染したものの、マルウェアが削除されたデバイスにも適用されます。QSnatchマルウェアの感染を防ぐため、CISAとNCSCは、組織に対し、QNAPの2019年11月のアドバイザリで推奨されている対策を実施することを強く推奨します。

しかし、CISAとNCSCによると、QSnatchが特に厄介なのは、DNS設定を変更することでファームウェア更新メカニズムを破壊し、パッチ未適用のQNAP NASモデルすべてに潜伏する能力だ。「このマルウェアは、感染したQNAPデバイスへのアップデートのインストールを阻止することで、潜伏状態を維持しているようだ。攻撃者はシステムホストファイルを改変し、NASが使用するコアドメイン名をローカルの古いバージョンにリダイレクトすることで、アップデートがインストールされないようにする。」

ちなみに、2019年後半の感染拡大は、QSnatchがQNAP NASボックスを襲撃した2度目の事例でした。このマルウェアの以前の亜種は、2018年と2019年に異なるペイロードで拡散し、当局によると、より限定的な機能を備えていたことが確認されています。

対照的に、2019年後半のバージョンは、被害者にとってはるかに悪質で危険であることが証明されています。さらに、このソフトウェアの背後にいる人物は依然として逃亡中です。「QSnatchを使用する悪意のあるサイバーアクターの身元と目的は現在のところ不明ですが、このマルウェアは比較的洗練されており、サイバーアクターは運用上のセキュリティに対する意識が高いことを示しています」と政府機関は警告しています。

QNAPの広報担当者はThe Registerに対し、「私たちの観察では、新たなマルウェアの変異や新たな発生の明らかな兆候はなく、状況は徐々に落ち着いてきています」と語った。®

編集者注:この記事の以前のバージョンでは、2019年10月に7,000台のQNAPデバイスが感染したと記載されていました。この数字はドイツのみに限定されており、世界全体の数字ではないことをご説明いたします。

Comparisons

Smart Recommendations

Discover More