QNAP製NASを狙うマルウェアに注意喚起。現在も6万台以上が感染

　米Cybersecurity and Infrastructure Security Agency(CISA)および英National Cyber Security Centre(NCSC)は27日(現地時間)、QNAP製のNASを標的とするマルウェア「QSnatch」に関する注意喚起を行なっている。

　QSnatchは、2014年初頭から2017年中頃と2018年末から2019年末にかけての2度にわたって活発な活動が確認されていたマルウェア。QNAPではすでにアップデートおよび対策の詳細を公開しているものの、2020年6月時点で世界で約62,000台が感染しているものとみられており、このうち約7,600台が米国、約3,900台が英国となっている。攻撃者の身元や目的、感染経路についてはわかっていない。

　感染すると、ファームウェアに侵入し悪意あるコードをデバイス内で実行。ドメイン生成アルゴリズム(DGA:Domain Generation Algorithm)を利用して、コマンド&コントロール(C&C)通信に使用するチャネルをHTTPを通じて確立する。

　侵入後は、偽の管理用ログインページを使って認証情報を盗み出し、SSHバックドアやリモートアクセス用のWebshell機能の設置、ファイルや資格情報、システム情報の外部送信などを行なう。あわせて、ホストファイルを書き換えることでファームウェア更新も妨害する。

　対処としては、信頼できる販売元から製品を購入するなど、以前にQSnatchが侵入していないことを確認するのが重要だとしている。脆弱なバージョンで運用していたり、販売元に信頼が置けない、以前に感染が確認されてQSnatchを削除した場合などでは、完全な出荷時リセットを行なってからファームウェアの更新を実施するよう推奨している。また、外部接続を切った運用も有効だとしている。