NASを人質に身代金0.6BTCを要求、ランサムウェア「SynoLocker」の攻撃広がる

　PC内のファイルを勝手に暗号化して開けないようにし、復号したければ身代金を支払えと要求してくる“ランサムウェア”が、今度はNASをターゲットにしてきた。ランサムウェア「SynoLocker」の攻撃が広がり始めているとし、エフセキュア株式会社が注意を呼び掛けている。

　SynoLockerに感染すると、NASに格納しているドキュメントファイルなどが暗号化され、身代金についてのメッセージが表示される。まず、「Tor Browser Bundle」をダウンロードするよう指示され、Torネットワーク上の特定サイトに誘導。そこで、あるBitcoinウォレットに0.6BTC（約3万6000円相当）を送金するよう要求し、入金を確認後に復号キーを渡すと提示してくる。

被害者に提示される、Torネットワーク上のSynoLockerのページ（エフセキュア公式ブログより画像転載）

　メッセージでは暗号化プロセスについて技術的説明も示されており、エフセキュアがSynoLockerを分析した結果、説明通りの暗号化プロセスが適切に実装されていたという。すなわち、復号キーがなければ、「ユーザーが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われるという事態に直面することになる」。

　エフセキュアによると、身代金を支払って復号キーを受け取り、無事にファイルを復号したユーザーの報告例もあるというが、身代金を支払ってもファイルが復旧されるという保証はないと指摘。また、身代金の支払いは犯罪者に金銭的利益を与えることにもなるため、断固としで拒否しなければならないと強調。そうした状況にならないために、以下の2つの対策が求められるとしている。

• 万一の感染に備えてバックアップを取っておく。感染した場合は、対応方法をメーカーに確認する。
• 攻撃はNASの古いOSの脆弱性を悪用したものが多いため、最新の状態にしておく。

　なお、SynoLockerは、エフセキュアのセキュリティ製品では「Trojan:Linux/SynoLocker.A」として検知する。Synology製NASのOS「Synology DSM」の古いバージョンにある脆弱性を突き、NASのリモートアクセス機能を悪用してNASにアクセスしているものとみられる。

　Synologyによると、攻撃されているDSMの脆弱性は2013年12月に修正パッチで対処済みのものだとしており、ユーザーに対してアップデートを強く促している。