QNAP は現在、CVE-2026-31431、通称 Copy Fail について調査を進めています。本脆弱性が QNAP NAS デバイスに与える影響について懸念されているユーザーの皆様に向けて、補足情報をお知らせします。
簡単に言うと、ほとんどの QNAP NAS モデルは本脆弱性の影響を受けません。
この問題は、特定の Linux kernel バージョンを実行している一部の ARM ベースの QNAP NAS モデルにのみ影響します。現時点での評価は以下のとおりです。
- すべての x86 ベースの QNAP NAS モデルは影響を受けません。
- QTS 4.x を実行している ARM ベースの NAS モデルは影響を受けません。
- この問題は、影響を受ける kernel バージョンを実行している特定の ARM ベースの NAS モデルにのみ該当します。
最新情報については、QNAP 公式セキュリティアドバイザリーをご確認ください。
https://www.qnap.com/go/security-advisory/qsa-26-16
本脆弱性について
本脆弱性はローカル権限昇格の問題です。
つまり、攻撃者がこの脆弱性を悪用するには、まず通常ユーザー、すなわち管理者ではないユーザーとして NAS 上でコードを実行できる状態である必要があります。これは、攻撃者が何らかのローカルアクセスを取得する前に、インターネット経由で直接悪用できる脆弱性ではありません。
QNAP NAS デバイスでは、SSH および Telnet へのアクセスは初期設定で管理者グループのユーザーに限定されています。ただし、特に他のユーザーや外部ネットワークからアクセス可能なサービスまたはコンテナを実行している場合は、システムおよびアプリケーションの公開状況を確認することを推奨します。
推奨される対応
一般的なリスク低減策として、以下を推奨します。
- 必要な場合を除き、管理者以外のユーザーに shell アクセスを付与しないでください。
- 信頼できる提供元のコンテナイメージのみを使用してください。
- Container Station の設定を確認し、不要なユーザーがコンテナにアクセスできないようにしてください。
- アプリケーション、コンテナ、サービスを最新の状態に保ってください。
- 使用していないサービスやアプリケーションを無効にしてください。
- 内蔵 Web Server を使用していない場合は、Control Panel > Web Server から無効にすることを検討してください。
- NAS をファイアウォールの内側に配置し、インターネットへ直接公開しないでください。
- 公式セキュリティアドバイザリーを確認し、セキュリティ更新が利用可能になり次第、速やかに適用してください。
QNAP は現在、セキュリティ更新の準備を進めています。追加情報または修正が利用可能になり次第、公式アドバイザリーを更新します。
特定のシステム構成について懸念がある場合は、QNAP Support までお問い合わせください。
セキュリティ保護のため、公開 IP アドレス、ユーザー名、デバイスのシリアル番号、完全なログ、詳細なシステム構成などの機密情報をフォーラム上に公開しないでください。
— QNAP Community Team
QNAP Product Security Incident Response Team から提供された情報に基づいています