Western Digital製NAS「My Book Live」の全データ抹消事件はゼロデイ脆弱性を突いたものだと判明

2021年6月に、Western Digital(WD)製のNAS「My Book Live」に保存したデータが全て消滅したという報告が相次ぎ、Western Digitalが「インターネットからの切断」を推奨する事態が発生していました。このデータ抹消事件に関するさまざまな調査の結果、データの削除は同製品のゼロデイ脆(ぜい)弱性を悪用したサイバー攻撃によるものであることが判明しました。

WDC-21008 Recommended Security Measures for WD My Book Live and WD My Book Live Duo | Western Digital
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo

CVE-2018-18472: Western Digital My Book Live Mass Exploitation - Censys
https://censys.io/blog/cve-2018-18472-western-digital-my-book-live-mass-exploitation/

Hackers exploited 0-day, not 2018 bug, to mass-wipe My Book Live devices | Ars Technica
https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/

2021年6月24日にWDの公式フォーラムに「My Book Liveに保存したデータが全て削除された」という報告が投稿されました。その後も同様の報告が相次いだことから、WDの担当者は原因解明に向けて調査を開始したと報告しつつ、「My Book Liveをインターネットから切断することをお勧めします」と述べていました。

Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 - GIGAZINE

そして、WDは2021年6月25日に「問題が生じたMy Book Liveのログファイルを確認した結果、複数のIPアドレスからアクセスされていたことが判明しました。この調査結果は、攻撃者がインターネットを介してMy Book Liveに直接アクセスしていたことを示しています」と述べ、データ抹消事件がMy Book Liveの脆弱性を突いたサイバー攻撃によるものであることを報告しました。また、報告の中でWDは2018年に発見されたMy Book Liveにアクセスして任意のコードを実行できる脆弱性「CVE-2018-18472」が今回の事件に悪用されたと主張しています。

さらに、データ抹消攻撃の被害を受けたユーザーの報告や復元されたログファイルから、攻撃者が複数のIPアドレスを用いてMy Book Liveの初期化を実行していたことも明らかになりました。この報告を受けたWDは「攻撃者はCVE-2018-18472を悪用し、続いて工場出荷時の状態へリセットする脆弱性を悪用したと考えられます」と、データ抹消攻撃に複数の脆弱性が利用されていたとする見解を述べています。

一方、セキュリティ企業のCensysによると、実際に同製品に対してデータ抹消攻撃を行うにはCVE-2018-18472を利用するだけで十分とのこと。それにもかかわらず、複数の脆弱性が利用された痕跡が残っている理由について、「最初にCVE-2018-18472を利用してMy Book Liveに不正アクセスした攻撃者とは別の攻撃者が、データ抹消攻撃を実行した可能性があります」と推測しています。

なお、WDは「今回の攻撃の被害を受けたユーザーから、『データ復元ツールを用いてデータの復元に成功した』との報告がありました。私たちは、これらのツールの有効性を調査しています」と述べており、データ抹消攻撃への対応を続ける姿勢を見せています。