QNAPは現在、CVE-2026-31431(通称 Copy Fail)について調査を進めており、影響を懸念されているQNAP NASユーザーの皆様へ明確な情報をお伝えしたいと考えています。
簡単に言うと、大多数のQNAP NASモデルにはこの脆弱性の影響はありません。
この問題は、特定のLinuxカーネルバージョンを実行している一部のARMベースのQNAP NASモデルにのみ影響します。現時点での評価は以下の通りです。
- すべてのx86ベースQNAP NASモデルは影響を受けません。
- QTS 4.xを実行しているARMベースのNASモデルは影響を受けません。
- 問題があるのは、影響を受けるカーネルバージョンを実行している一部のARMベースNASモデルのみです。
最新情報については、公式QNAPセキュリティアドバイザリをご確認ください:
https://www.qnap.com/go/security-advisory/qsa-26-16
この脆弱性について
この脆弱性はローカル権限昇格の問題です。
つまり、攻撃者はまず通常ユーザー(非管理者ユーザー)としてNAS上でコードを実行できる必要があり、その後にこの脆弱性を悪用しようとします。インターネット経由で直接悪用される脆弱性ではなく、最初に何らかのローカルアクセスを取得する必要があります。
QNAP NASでは、SSHおよびTelnetへのアクセスはデフォルトで管理者グループのユーザーのみに制限されています。ただし、特に他のユーザーや外部ネットワークからアクセス可能なサービスやコンテナを実行している場合は、システムやアプリケーションの公開状況を見直してください。
推奨される対策
リスクを全体的に低減するため、以下の対策を推奨します:
- 非管理者ユーザーに対し、必要がなければシェルアクセスを付与しない。
- 信頼できるソースのコンテナイメージのみ実行する。
- Container Stationの設定を確認し、不必要なコンテナアクセス権をユーザーに付与しない。
- アプリケーションやコンテナ、サービスを常に最新に保つ。
- 使用していないサービスやアプリケーションは無効化する。
- 組み込みWeb Serverを使用していない場合、コントロールパネル > Web Serverから無効化を検討する。
- NASをファイアウォールの内側に配置し、インターネットへ直接公開しないよう心がける。
- 公式セキュリティアドバイザリに従い、セキュリティアップデートが公開されたら速やかにインストールする。
QNAPは現在、セキュリティアップデートの準備を進めており、新たな情報や修正が利用可能になった際にはアドバイザリを更新します。
特定のシステム構成に関してご不明な点がありましたら、QNAPサポートまでお問い合わせください。
安全のため、フォーラム等の公開の場では、パブリックIPアドレスやユーザー名、製品シリアル番号、完全なログ、詳細なシステム設定などの機密情報を投稿しないようご注意ください。
— QNAP Community Team
(QNAP Product Security Incident Response Teamからの情報に基づく)