サイバー脅威
進化する脅威からユーザのNASデバイスを保護する
情報やデータへのアクセスおよびワークフローの継続性を求めて、ユーザや組織がInternet of Things(IoT)をますます頼りにする中、IoTへの脅威も進化し続けています。
情報やデータへのアクセスおよびワークフローの継続性を求めて、ユーザや組織がInternet of Things(IoT)をますます頼りにする中、IoTへの脅威も進化し続けています。サイバー犯罪者は世の中におけるIoTへの依存性に注目しており、現代では家庭とビジネスの両方において、ユーザがこれらのデバイスでファイルの保存やバックアップを行っていることから、ネットワーク接続型ストレージ(NAS)デバイスを攻撃の対象に含めています。さらに重要なことは、これらのツールには貴重な情報が含まれているが、最小限のセキュリティ対策しか講じられていないことをサイバー犯罪者が認識しているという点です。
トレンドマイクロでは最新のリサーチペーパー「バックアップに対する脅威:進化する脅威からNASデバイスを保護する」で、現在のインフラストラクチャ、環境、およびNASデバイスを標的とする最新の脅威からシステムを保護するための推奨事項について調査しました。マルウェア感染やNASデバイスを標的とした攻撃のリスクを軽減する重要性を強調するために、ビジネスモデルにNASデバイスが含まれる可能性がある2つのマルウェアファミリ、REvilランサムウェアとStealthWorkerボットネットの技術的詳細を分析しました。
■REvil
2021年中頃のREvil(別名:Sodinokibi)の消失については不確実な点が多くありますが、セキュリティ研究者はREvilランサムウェアのLinuxバージョンを発見し、Revixと呼んでいます。サンプルを分析した結果、私たちはこのマルウェアの4つの異なるバージョンを見つけました。いずれも埋め込まれたJSON(JavaScript Object Notation)ベースの設定を使用して、ファイルを暗号化する前にパラメータを指定します。
図1:RevixのJSONベースの設定
一部のパラメータはランサムウェアにより無視されますが、私たちが確認した最も重要なパラメータを以下に示します。
- pk:64バイトの鍵
- nbody:Base64でテキストエンコードされた身代金要求メッセージ
- nname:身代金要求メッセージ名
- ext:暗号化ファイルに追加される拡張子
システムの侵害後、攻撃者はNASデバイス上において手動でランサムウェアを実行して、ファイルを暗号化し、被害者ごとに固有の鍵でランサムノート(身代金要求メッセージ)を作成します。
図2:QNAP NASデバイスを暗号化するRevix
図3:Revixのランサムノート
バージョン間の違いはわずかですが、攻撃者グループは2021年5月にはすでに、アンダーグラウンドフォーラムでNASデバイスの暗号化機能を宣伝していました。インターネットに直接接続されているNASデバイスの脆弱性を考えると、将来的にこれらのデバイスに影響するランサムウェア攻撃の新たな波の出現が予想されます。
■StealthWorker
2021年に、セキュリティ研究者はSynology NASデバイス上でStealthWorkerボットネットから仕掛けられたブルートフォース攻撃を発見しました。私たちはこのボットネットの複数のサンプルを見つけ、新しいバージョンはWooCommerceやWordPressなどの複数の製品およびシステム上で動作するサーバにブルートフォース攻撃を実行し、侵害することが可能であると確認しました。このボットネットは、HTTP認証を使用するWebサーバやQNAPなどのその他のNASデバイスを広く攻撃するようにも設計されています。侵害時に見つかった有効な認証情報は、通常はポート5028/TCPで、コマンド&コントロール(C&C)サーバにアップロードされます。
図4:QNAPデバイスを標的とするStealthWorkerのブルートフォース機能
図5:C&Cサーバに接続されている感染したLinuxデバイス
■NASデバイスを保護する方法
適切なセキュリティが導入されない限り、NASデバイスは情報窃取、マルウェア感染、業務中断などの被害における侵入ポイントとして悪用可能なため、ユーザやビジネスは攻撃の標的とされ続けます。NASデバイスのセキュリティギャップを悪用する脅威からシステムを保護するためのベストプラクティスを以下に示します。
- NASデバイスをインターネットに直接接続しない。
- NASデバイスにアクセスするための認証情報を定期的に変更する。攻撃者に知られているため、デバイスにあらかじめ設定されているデフォルトの認証情報は絶対に使用しない。
- セキュリティを強化するために2要素認証(2FA)を有効にする。
- 侵入ポイントとして悪用される可能性があるため、使用しなくなったアプリケーション、ソフトウェア、およびサービスはアンインストールする。
- Synologyが推奨するベストプラクティスや、QNAPが最近公開した、インターネットへの不要な露出からデバイスを防ぐための推奨事項など、NASメーカーのオンラインセキュリティガイドを定期的に確認する。
その他の技術的詳細、脅威、洞察、およびNASデバイスを保護するための推奨事項については、トレンドマイクロのリサーチペーパー「バックアップに対する脅威:進化する脅威からNASデバイスを保護する」をご覧ください。
参考記事:
- 「Defending Users’ NAS Devices From Evolving Threats」
by Stephen Hilt, Fernando Merces