QNAPは現在、CVE-2026-31431(別名 Copy Fail)について調査中であり、この脆弱性がQNAP NASデバイスに与える影響を心配されているユーザーの皆様へ、いくつかのご説明をいたします。
要約すると、ほとんどのQNAP NASモデルはこの脆弱性の影響を受けません。
この問題の影響を受けるのは、特定のLinuxカーネルバージョンを搭載した一部のARMベースQNAP NASモデルのみです。現時点での評価は以下の通りです:
- すべてのx86ベースQNAP NASモデルは影響を受けません。
- QTS 4.xを実行しているARMベースのNASモデルは影響を受けません。
- 影響は、該当するカーネルバージョンを実行している特定のARMベースNASモデルにのみ適用されます。
最新情報については、公式のQNAPセキュリティアドバイザリをご参照ください:
https://www.qnap.com/go/security-advisory/qsa-26-16
この脆弱性について
この脆弱性はローカル特権昇格に関する問題です。
つまり、攻撃者が脆弱性を悪用する前に、通常の(管理者ではない)ユーザーとしてNAS上でコードを実行できる必要があります。インターネット経由で直接悪用される脆弱性ではなく、ある程度のローカルアクセスを最初に取得する必要があります。
QNAP NASデバイスでは、SSHおよびTelnetへのアクセスはデフォルトで管理者グループのユーザーに制限されています。しかし、他のユーザーや外部ネットワークからアクセス可能なサービスやコンテナを実行している場合は、システムおよびアプリケーションの公開範囲を確認することをお勧めします。
推奨される対応
一般的なリスク低減策として、以下を推奨します:
- 必要がない限り、非管理者ユーザーへのシェルアクセスを許可しないでください。
- 信頼できるソースからのみコンテナイメージを実行してください。
- Container Stationの設定を見直し、不要なユーザーがコンテナへアクセスできないようにしてください。
- アプリケーション、コンテナ、サービスを常に最新の状態にしてください。
- 未使用のサービスやアプリケーションは無効化してください。
- 内蔵Webサーバーを利用していない場合は、コントロールパネル > Webサーバーから無効化を検討してください。
- NASをファイアウォールの背後に置き、直接インターネットに公開しないでください。
- 公式のセキュリティアドバイザリに従い、セキュリティアップデートが提供されたら適用してください。
QNAPは現在、セキュリティアップデートの準備を進めており、新たな情報や修正があればアドバイザリを更新します。
特定のシステム構成について懸念がある場合は、QNAPサポートまでご連絡ください。
セキュリティ保護のため、フォーラムには公開IPアドレス、ユーザー名、デバイスのシリアル番号、完全なログ、詳細なシステム構成などの機密情報を投稿しないでください。
— QNAP Community Team
QNAP Product Security Incident Response Teamからの情報をもとに作成