NASデバイスに対するランサムウェア攻撃
NASデバイスは、ネットワーク経由でアクセスする大量のデータを保存するために、個人や企業を問わず広く利用されています。また、NASをバックアップ用のストレージとして利用するのも非常に便利であり、多くの場合、NASデバイスはインターネットに接続されています。そのため、NASデバイスはサイバー犯罪者にとって格好の標的となっています。 一部のランサムウェアは、NASを標的として特別に設計されています。
しかし、ネットワーク内のコンピュータが感染し、NASにアクセスできる状態であれば、NASに保存されたファイルは、どのようなランサムウェアによっても暗号化や破損の被害を受ける可能性があります。NASはデフォルトで信頼性が高く、攻撃を受けにくいと信じている多くのユーザーにとって、これは意外な事実かもしれません。このブログ記事では、NASをランサムウェア攻撃から守る方法について解説します。セキュリティ対策には、NAS固有の対策に加え、一般的なランサムウェア対策も含まれています。
NASでの認証情報の変更
ランサムウェアの作成者は、さまざまなNASデバイスにおけるデフォルトの管理者ユーザー名とパスワードを熟知している。 管理者 または 管理者 は、管理者アカウントで最もよく使われるユーザー名です。デバイス上でユーザー名とパスワードが変更されていない場合、攻撃者は容易にNASへのアクセス権を取得できてしまいます。管理者ユーザーが独自のパスワードを設定している場合、攻撃者は自動化ツールを使用して総当たり攻撃を行ったり、辞書攻撃でパスワードを推測したりして、NASへの完全なアクセス権を取得することが可能です。
多くの場合、NASデバイスに組み込まれている管理者アカウントを削除することはできません。 最善の対策は、NAS上に新しいユーザーアカウントを作成し、推測されにくい強力なユーザー名とパスワードを設定することです。その後、このアカウントにすべての管理権限(デフォルトの管理者アカウントで利用可能なすべての権限)を付与します。完了したら、NAS上のデフォルトの管理者アカウントを無効にしてください。
NAS上で共有データに直接アクセスするユーザー用のアカウントを作成することもできますし、NASをActive Directoryドメインに参加させ、Active Directoryユーザーアカウントを使用してフォルダを共有・アクセスすることも可能です。
共有データにアクセスするユーザーには、強固なパスワードを使用するようにしてください。強固なパスワードとは、大文字、小文字、数字、および特殊文字(%や$など)を含み、8文字以上で構成されるものです。 & #).
感染したコンピュータからNAS上の共有フォルダへの書き込み権限を持つユーザーがいる場合、NAS上のデータがランサムウェアによって暗号化される可能性があります。NAS上でアクセス可能なデータも、ランサムウェアによって暗号化される恐れがあります。
このような事態を回避するための有効な対策として、Windowsへのログインに使用するアカウントとは別のユーザーアカウントを使用し、Windowsマシンにパスワードを保存しないことが挙げられます。 この場合、ユーザーはWindowsにログインするたびに、共有フォルダにアクセスするために認証情報を入力する必要があります。ユーザーが共有フォルダを開くために認証情報を入力していない場合、NAS上の共有フォルダにあるデータにアクセスして暗号化することはより困難になります。一部のランサムウェアは、一般的なパスワードを含む小さな辞書を使用してパスワードを推測し、アクセス権を取得することがあるため、パスワードを強固なものにすれば、ランサムウェア対策はさらに強化されます。
もう一つのベストプラクティスは、ユーザーカテゴリごとに異なるアクセスレベルを設定することです。セキュリティをさらに強化するため、読み取り専用アクセスを必要とするユーザーには書き込み権限を与えないようにすべきです。
ファイアウォールの設定
外部ネットワークやインターネットからNASにアクセスする必要がある場合は、ゲートウェイのファイアウォールを適切に設定し、信頼できるIPアドレスからのアクセスのみを許可するようにしてください。これにより、攻撃者がインターネット経由でNASデバイスをスキャンして検知することを防ぐことができます。最善の方法は、NASをNATファイアウォールの内側に配置することです。
ネットワーク外部のユーザーにアクセスを許可するには、ポートフォワーディングと仮想プライベートネットワーク(VPN)の2つの方法があります。 外部ネットワークからポートフォワーディングを使用してNASにアクセスする場合は、データアクセスに使用するプロトコルに対して、標準以外のカスタムポート番号を使用してください。例えば、TCPポート22の代わりに8122を使用します。攻撃者は通常、標準ポートをスキャンして開いているポートを検出し、ブルートフォース攻撃や辞書攻撃を開始してアカウントを侵害し、NASへのアクセス権を取得しようとします。ただし、すべてのポートをスキャンするスキャナーも、開いているポートを見つけるために使用される可能性があります。
すべてのポートではなく、必要なポートのみを開いて NAS へのアクセスを許可してください。たとえば、LAN 経由のファイル転送には SMB を、WAN 経由のファイル転送には SFTP を使用する場合、その他の未使用のサービスやファイルプロトコルは無効にしてください。セキュリティレベルが高いため、ローカルネットワークでは SMB (CIFS) プロトコルの最新バージョンを使用することをお勧めします。
また、リモート接続も無効にする必要があります。 Synology NAS、ポート転送の設定なしで任意のWAN IPアドレスからNASに接続できるようにする"クイック接続"機能を無効にしてください。この機能を無効にすることで、NASへの接続経路が制限され、NASが侵害されたり、ランサムウェアによってデータが暗号化されたりするリスクを低減できます。
ネットワーク、コンピュータ、およびネットワークに接続されているその他のデバイスを保護してください。NASをオンプレミスでのバックアップ保存のみに使用している場合は、外部ネットワークからのNASへの接続を無効にしてください。NASに組み込みのファイアウォールがある場合は、定期的にデータをバックアップしているサーバーのIPアドレスからの接続のみを許可するように設定できます。
ファームウェアの更新
NASデバイスには、NAS上で動作するように設計されたファームウェアや専用のオペレーティングシステムが搭載されています。ランサムウェアは、ソフトウェアのセキュリティ上の脆弱性を悪用してデバイスに感染し、ファイルを暗号化することがあります。NASデバイスにインストールされているオペレーティングシステムも例外ではありません。NASのファームウェア(オペレーティングシステム)やアプリケーションを定期的に更新し、発見されたNASソフトウェアの脆弱性を修正する最新のセキュリティパッチを適用してください。セキュリティ更新プログラムを適用することで、NASデバイスに対するランサムウェア攻撃のリスクを軽減できます。この場合、自動更新機能を活用すると良いでしょう。
注: 最近発生したeCh0raixランサムウェアによる攻撃では、ブルートフォース攻撃やソフトウェアの脆弱性を悪用し、パッチが適用されていないQNAP製NASデバイスが標的とされました。脆弱な認証情報やパッチ未適用のソフトウェアを使用していたユーザーが、eCh0raixによる攻撃を受けました。NASデバイスを標的とした最近のランサムウェア攻撃には、AgeLockerやQSnatchも含まれています。
セキュリティ設定の構成
多くのNASデバイスには、ランサムウェア対策に役立つセキュリティ設定が組み込まれています。"自動ブロック"オプションは、NASへのアクセスを狙ったブルートフォース攻撃を防ぐために使用されます。ログイン試行回数が多すぎると検知されたIPアドレスをブロックするように、NASソフトウェアを設定してください。ログイン失敗を検知するために、ログ記録を有効にしてください。アカウント保護を設定することで、XX分間にX回のログイン失敗があった場合、一定時間ログインをブロックすることができます。 不正アクセスに対する防御策を講じることで、NASデバイスを標的としたランサムウェア攻撃の発生確率を低減できます。NASがインターネットに公開されている場合は、DDoS保護機能を有効にしてください。この機能は、オンラインサービスを妨害することを目的とした分散型サービス拒否(DDoS)攻撃からNASデバイスを保護します。
安全な接続を使用する
NASへの接続には、常に暗号化された接続を使用してください。NASのWebインターフェースにアクセスする際は、HTTPの代わりにHTTPSプロトコルを使用できるよう、接続でSSLを有効にしてください。外部ユーザーとファイルを共有する場合は、従来のFTPは暗号化に対応していないため、FTPの代わりにSFTPまたはFTPSを使用してください。暗号化されていないネットワークプロトコルを使用すると、第三者がネットワーク経由で転送されるデータを傍受する可能性があります。セキュリティ対策が施されていない暗号化されていない接続を使用する場合、パスワードは平文で転送されます。 コマンドラインインターフェースでNASを管理する際は、TelnetではなくSSHを使用してください。
環境全体を守る
効果的なランサムウェア対策には、ネットワークに接続されているすべてのデバイスに対する包括的な対策が必要です。保護されていないデバイスが1台あるだけでも、ランサムウェアの侵入経路として悪用される可能性があります。すべてのデバイスのファームウェアを更新し、すべてのマシンにセキュリティパッチを適用してください。スパムメールやフィッシングメールはランサムウェア感染の最も一般的な手口であるため、スパム対策フィルターを使用してメール保護を設定してください。また、ランサムウェアによるサイバー攻撃をできるだけ早期に検知し、ファイルの暗号化やランサムウェアの拡散を阻止できるよう、監視システムを設定してください。
データのバックアップ
サイバー犯罪者は、ユーザーを攻撃しデータを暗号化するために、新たな脆弱性を探し出し、攻撃手法を洗練させています。ランサムウェア攻撃はますます巧妙化しています。そのため、データを定期的にバックアップしておく必要があります。バックアップがあれば、ランサムウェア攻撃やその他の災害によってデータが失われた場合でも、短時間でデータを復元することができます。通常、NASデバイスはバックアップ先として使用されますが、それ自体がランサムウェアの標的となる可能性もあります。そのため、以下の方法に基づいてバックアップを作成する必要があります。 3-2-1バックアップルール. データを定期的にバックアップし、複数のバックアップを作成してください。ファイルがランサムウェアによって暗号化されてしまった場合でも、身代金を支払わないでください。支払うと、サイバー犯罪者がさらなる攻撃を仕掛ける動機を与えてしまうことになります。
NAKIVO Backup & Replication NASにインストール可能な汎用的なデータ保護ソリューションであり、 データをNASにバックアップする その他、テープやクラウドへのバックアップ作成を含む各種ストレージ。 NAKIVO Backup & Replication VMware vSphere VM、Microsoft Hyper-V VM、Amazon EC2インスタンス、Linuxマシン、Windowsマシン、Microsoft 365、およびOracleデータベースのバックアップに対応しています。さまざまな機能や特長を NAKIVO Backup & Replication 無料版をダウンロードするだけで利用できます。無料版では、10のワークロードと5つのMicrosoft 365アカウントを1年間無料で保護できます!
ランサムウェアに関する他のブログ記事を読んで、さらに詳しく知る ランサムウェア攻撃からの復旧中、 ランサムウェアはどのように拡散し、どのように削除すればよいのでしょうか。
結論
NASデバイスの普及が進むにつれ、残念ながらNASを標的としたランサムウェアも増加傾向にあります。NASデバイスをランサムウェア攻撃から守るためには、包括的な対策を講じる必要があります。 強固なパスワードの設定、ファイアウォールの設定、アクセス権限の設定、NASおよびネットワーク内の他のコンピュータ上のソフトウェアの保護、セキュリティパッチの定期的な適用を行ってください。また、組織内のメールサーバーでメールフィルタリングを設定し、ユーザーがスパムやフィッシングメールに遭遇しないようにしてください。しかし何よりも重要なのは、ランサムウェア被害が発生した際に復旧できるよう、データを定期的にバックアップすることです。
