セキュリティの
学び場

今回の解説ニュース

特定のNASデバイスを狙うランサムウェアについて発表されています。今回、取り上げられているランサムウェアの特徴や、その対策について説明します。

今回発表されたランサムウェア「DeadBolt」は、台湾のNASデバイス大手ベンダ「QNAP Systems, Inc.」社の製品を標的としたことが確認されています。データの保存場所であるNASデバイスは、様々なランサムウェアの攻撃対象となっていますが、特にDeadBoltランサムウェアに感染したデバイスの数は多いということです。

また、DeadBoltランサムウェアファミリが被害者にとって問題が多い理由についての調査結果を報告するとともに、関連データを用いて、身代金を支払ったユーザとベンダの割合や、DeadBoltグループが攻撃を経て不正に得た総額も調査しています。

高度な戦術や手法に特徴、ランサムウェア「DeadBolt」

ランサムウェア「DeadBolt」の特徴について、セキュリティベンダーから挙げられている5つの重要点を引用して説明します。

まず、ランサムウェアファミリ「DeadBolt」は、QNAP社やASUSTOR社製NASデバイスを標的にしています。ただし、ほとんどの感染はQNAP社製デバイス上で発生していることがわかっています。また、DeadBoltランサムウェアは、標的ベンダに基づき特定の設定を動的に選択する構成ファイルを用いることで拡張性を高め、新たな攻撃キャンペーンや標的ベンダに簡単に適応できるように設計されています。構成ファイルはJSONで作成されており、身代金要求額や連絡先の詳細などが書かれています。

さらに、DeadBoltグループは、「被害者が復号鍵に対して身代金0.03ビットコインを支払うか」、「NASベンダがすべての被害者のデータを復号するために理論的に機能するマスターキーに対して身代金50ビットコインを支払うか」の2つの支払いオプションを提示しています。なお、マスターキーによる復号が可能である証拠は現時点で見つかっていないということです。

そして、DeadBolt攻撃の被害者のうち約8%が身代金を支払っているということです。DeadBoltに感染したQNAP社製やASUSTOR社製デバイスがインターネットに接続されている状況でも、感染デバイスの数が減少している理由は、ユーザがシステムをオフラインにしているか、ファイルを元に戻すために身代金額を支払ったためだと考えられています。

なお、DeadBoltグループはWebおよびオペレーティングシステムに関する高度な開発技術を有していると考えられています。DeadBoltは、Go言語で書かれたコードをコンパイルして生成された64bitのLinux用実行ファイルで、被害者が身代金要求のメッセージや指示に簡単にアクセスできるよう構成したWebページを作成し、NASデバイスの正規CGIスクリプトを置き換えて身代金要求ページを表示させます。

NASデバイスの安全を保つための5つの推奨事項

NASデバイスのセキュリティ対策について、こちらも、セキュリティベンダーから挙げられている5つの推奨事項を引用して説明します。

最初に、NASデバイスのファームウェアを定期的に更新すること、最新の修正プログラムが利用可能になり次第、インストールされていることを確認することが挙げられています。最新の状態を維持することは一般的なセキュリティ対策としても有効です。

2つ目に、不要な場合は、NASデバイスをインターネットに接続しないようにすることが挙げられています。リモートからNASデバイスにアクセスする場合は、VPN等を用いて安全にアクセスすることが推奨されています。

3つ目に、強いパスワードや二段階認証を設定することが挙げられています。弱いパスワードや初期設定の認証情報は、ランサムウェアの攻撃対象になりますので注意が必要です。

4つ目に、接続環境や通信ポートを安全に保つことが挙げられています。HTTPの代わりに暗号化されたHTTPSを有効化し、未使用の通信ポートはすべて閉じて、既定のポートを変更することが推奨されています。

最後に、未使用のサービスや古いサービスは、シャットダウンまたはアンインストールすることが挙げられています。未使用のサービスや古いサービスを停止することは、リスクを軽減することに繋がります。

今回は、ランサムウェア「DeadBolt」の特徴や、その対策についてお届けしました。今回挙げられている推奨事項は一般的なセキュリティ対策にも通じるものがありますので、ぜひ参考にしてみてください。