以前の記事で自宅NASがランサムウェアに感染したことを書いて、さらにメーカーから対処方法の発表があったことを書いたのだ。
Asustorが言ってる対処方法はこれ。そして対策はこれ。
感染が分かってすぐにLANケーブルを抜いてシャットダウンしてあったのだが、このままだと宝の持ち腐れ(宝なのか微妙だけど、腐っても鯛というからねぇ。。。)になってしまうので、全てのデータが初期化されるんじゃないかと不安になりながらも、どっちみち感染したファイルが復旧できるかもわからないから、諦め半分でメーカーが示す対処方法に従って復旧を試みることにしたのだ。
何度も書いてるけど、Asustorが言ってる対処方法はこれ。
使ってるのはAS1002T v2ってやつ。もう現行製品のラインナップからは外れてるみたいだけど「デジタル環境のための理想的なエントリーレベルのNAS」って書いてある。
うん?理想的??感染したのに・・・・・。まあ、俺が買うときもこれは安くて良いなと思ったので、確かに良い製品だとは思うけど。
手順は簡単にいうと、
0.既にシャットダウンされている前提
1.中に入れてあるHDDを全て外す
2.電源を入れると「ハードディスクがないよ」と言ってくるので、電源を入れたまま、元通りにハードディスクを入れる
3.初期化するよ?ってな画面が出るので、次に進んでライブアップデートをする
4.アップデートが完了するとADM(管理画面)が表示される
ってことらしい。ここで3と4の間にデータが全部初期化されるのかされないのかが書いてないので、非常に不安になる。手順を作るヤツはもっと利用者の気持ちを考えて作るべきだと思う。
で、やってみた。
1.HDDを外した状態で起動
AS1002T v2のハードディスクを外すのは簡単。筐体を空けるのも、ハードディスクを外すのも。指で回せるねじをクルクルすればよいだけ。で、外してLANと電源を接続して起動したんだけど、画面が出てこない。NAS自体にディスプレイはないから画面を出すのはPCなんだけど、ブラウザで開こうとしても繋がらないし、そもそもACC(ASUSTOR Control Center)っていうLAN内のNASを物理アドレスレベルで見つけ出して接続してくれるツールにも表れてこない。さてさて困った。。。
電源ボタンを長押ししてシャットダウンして、再度立ち上げたりってのを何度かしたけど、何度やってもまったく画面が出てこないのだ。困って困って「これはサポートに質問するしかない!」と思って問合せフォームに状況を入力していたら、NASの方から「ビッ」という音(つまりBEEP音)がしたのだ。この音は電源ボタンを長押ししてシャットダウンするときに発せられる音なので、「何だ何だ?シャットダウンしちゃったぞ??」と思って見に行ったらLEDは光っている。「変なの?」と思いながらもう一度画面を出してみたら出てきたのがこれ。
こんなのさ、手順書の中に「数分待つ」とか何とか書いといてほしいよね。ホント不親切だと思う。
2.電源を入れたまま、元通りにハードディスクを入れる
AS1002T v2はたしかホットスワップには対応してなかったはずなので、電源入れたままディスクを挿すってのはいささか違和感があるんだけど、手順にあるので仕方がない。2本挿さってたドライブを元通りに挿して、画面を見てみたらこうなってた。
どうやら手順書と同じ画面が日本語で出ているっぽい。
3.初期化画面で、ライブアップデート
次へボタンを押すとこれが出てくる。
さらに次へを押すとこれ。
この「システムを構築する」ってのがこれだとよく分からないよね。データ消えるのかどっちなのか本当に不安しかないけど、中止するボタンもないし「電源を切ったりしないでください」って書いてあるから、もうどうすることもできない。
4.アップデートが完了して管理画面へ
ここでNASの中身のファイルを見てみたら、ほとんどのファイルは拡張子が.deadboltになってた。元のファイルが「AAA.pdf」だとしたら「AAA.pdf.deadbolt」になってる感じ。
もしかしてメーカーが示す手順の通りにやったら、暗号化されたファイルが復号されて元通りに使えるんじゃないかと淡い淡い期待をしてたんだけど・・・、まあ、そりゃそうだよね。一応「AAA.pdf.deadbolt」をローカルPCにコピーして「AAA.pdf」に書き換えて開こうとしたけど「ファイル形式が違う」とか何とか言われて開けなかった。そりゃそうだ。
5.一応設定変更
メーカーはこんなことを言ってる。
ASUSTOR NAS のデータのセキュリティーを向上させるため、以下の事項を確認してください。
・デフォルトの HTTP と HTTPS ポートを変更する。デフォルトのポートはそれぞれ 8000 と 8001 です。
・Web サーバーポートを変更する 。デフォルトのポートは 80 と 443 です。
・定期的にバックアップを取り、バックアップデータが最新であることを確認する。
・Terminal/SSH、SFTPサービスやその他使用しないサービスをオフにする。
そもそもNASをインターネットに公開してないから、管理画面のポートとかWebサーバーポートとか関係なさそうだし・・・と思いながらも一応ポートは変えておいた。
バックアップは取らないと同じ轍を踏むことになるので、バックアップ用のディスクを近々入手してバックアップしようと思う。反省としては、またNASが感染したとしてもデータが消えないように、異なるOSのドライブにしておくことと、フルバックアップと増分バックアップを組み合わせた世代管理をして、全部が消えるという事態を避けること。
使用しないサービスはもともとオフにしてあるから問題なさそう。だけどSSHもオフってねぇ。Docker使えないじゃん?どうしろってんだろう。
そもそもNASを勝手にインターネットに公開してるAsustorのOSに問題がありそうな気がするんだが。