ニュース

QNAPのNASへの攻撃を狙ったスキャンが増加、ユーザーはファームウェアの更新を

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は19日、TCP 8080番ポートへのスキャンが12月5日ごろから増加しているとして、注意を喚起した。このスキャンに伴って、QNAPのNAS製品を対象とした攻撃も確認されているため、製品のユーザーにはファームウェアのバージョン確認および対策を呼び掛けている。

TCP 8080番ポートへのスキャン状況(JPCERT/CCの発表資料より)

 JPCERT/CCの定点観測システムによると、TCP 8080番ポートへのアクセスが12月5日ごろから増加。このうち、一部のパケットに応答した場合、GNU bashの脆弱性が対象と推測される攻撃のリクエストが送られてくることが確認されている。

 TCP 8080番ポートは複数のソフトウェアで利用されているが、確認されたた攻撃リクエストは、QNAPのNAS製品を狙うものだった。TCP 8080番ポートはQNAPのNAS製品のログイン画面で使用されており、QNAPからはNAS製品を対象とした攻撃が行われていることが公開されている。

 また、TCP 8080番ポートへのスキャンを行ってきたIPアドレスについても、QNAPのNAS製品のログイン画面と推測される応答が確認されている。このことから、QNAPのNAS製品が攻撃を受け、攻撃の踏み台となることで、さらにスキャンが増加したことが考えられるとしている。

 JPCERT/CCでは、QNAPのNAS製品のユーザーに対して、ファームウェアのバージョンを確認の上、対策済みファームウェアを適用することを推奨している。また、Qfix 1.0.2 build 1008が適用されていないTurbo NAS series 4.1.1 build 1003より前のバージョンを使用していた場合は、攻撃の影響を確認することを求めている。

(三柳 英樹)