QNAP NASを無防備にインターネットに直接接続してはいけない理由とは

QNAP NASを無防備にインターネットに直接接続してはいけない理由とは

2021年4月16日、QNAPはHybrid Backup Sync(HBS)アプリの最新版(16.0.0415)をリリースし、新機能を追加するとともに、QNAPセキュリティアドバイザリQSA-21-13に記載されているいくつかのセキュリティ問題に対処しました。4月21日、ランサムウェアの攻撃を受けた可能性があるというユーザーからの報告を受け始めました。残念ながら、いわゆるQlockerランサムウェアは、HBSの最新版ですでに修正済みとなった脆弱性の1つを利用して、修正が適用されていない古いバージョンのHBSを搭載しインターネットに直接接続されているQNAP NASを標的に、敵対的な活動を展開していたことが後に確認されました。

QNAP NASをインターネットに直接接続することのリスク

QNAP NASをインターネットに直接接続すると、世界中の誰もがアクセスできるようになります。Shodanなどのウェブサイトやボットネットを利用することで、攻撃者は簡単にあなたのデバイスを発見し、攻撃を仕掛けることができます。

“インターネットに直接接続する”の定義について

ルーターやモデムの設定でQNAP NASの手動ポートフォワーディング、自動ポートフォワーディング(UPnP)、非武装地帯(DMZ)を有効にしている場合、QNAP NASはインターネットに直接接続されています。QNAP NASをインターネットに直接接続する他の接続方法には、QNAP NAS自身によるパブリックIPアドレス(静的/PPPoE/DHCP)の取得があります。

当社が推奨する接続方法

あなたのQNAP NASがQlockerの影響下にない場合、まずはQNAP NASがインターネットに接続されている方法を確認し、上記の方法を使用している場合は変更を強くお勧めします。そうすることで、QNAP NASがインターネットから非権限者やアタッカーに接触される可能性が大幅に減少します。

QNAP NASは、パブリックIPアドレスを持たずに、ルーターとファイアウォールの内側に置いておくことが望ましいです。ルーターの設定で、QNAP NASの手動ポートフォワーディング、自動ポートフォワーディング (UPnP) および非武装地帯 (DMZ) を無効にする必要があります。

代わりに、ルーターのVPNサーバー機能を有効にしてください。インターネットからQNAP NASにアクセスする必要がある場合は、まずルーターのVPNサーバーに接続してから、QNAP NASに接続します。

また、QNAPが提供するmyQNAPcloud Linkサービスを利用してQNAP NASにアクセスすることもできます。ただし、トラフィックが中継されるため、通信速度が若干遅くなる可能性があります。

A picture containing text, indoor, monitor, screenshot

Description automatically generated

その他の代替接続方法としては、QNAP NASでVPNサーバーを有効にする(QVPN Serviceスアプリをインストールする)、またはQNAPが導入しているSD-WANソリューションであるQuWANを展開するなどがあります。その場合でも、ごく少数のネットワークポートをインターネットに開放する必要があります。そこで、QNAP NASをさらに安全にするために、以下のような追加対策を取ることをお勧めします。

NASをインターネットに直接接続しなければならない場合の対策

個々のユーザーの判断でQNAP NASがインターネットに直接接続する場合、デバイスの安全性を強化し、侵入される可能性を減らすために以下の手順を推奨します。

  • QNAP NASをルーターとファイアウォールの内側に置く。QNAP NASにパブリックIPアドレスを取得させない。UPnP および DMZ を使用しない。QNAP NAS の UPnP もオフにすることをお勧めします。特定のQNAP NASサービスが必要とするネットワークポートに対してのみ、ルーター設定でポートフォワーディングを手動で設定する。
  • Telnet、SSH、Webサーバー、SQLサーバー、phpMyAdmin、PostgreSQLなどのサービスを、使用していない場合は停止または無効にする。
  • 21、22、80、443、8080、8081などのデフォルトの外部(インターネット側)ポート番号を、カスタマイズされた(ランダムな)ものに変更する。例えば、8080 を 9527 に変更するなど。
  • 暗号化されたHTTPS接続、またはその他のタイプの安全な接続(SSHなど)のみを使用してください。
  • QNAP NASにQuFirewallをインストールし、許可するIPアドレスを特定の地域またはサブネットに制限する。
  • 新しい管理者アカウントを設定し、デフォルトの「admin」アカウントを無効にする。
  • すべてのNASユーザーに強力なパスワードを使用する(新しい管理者アカウントを含む)。
  • QNAP NASでMFA(2段階認証)を設定する。
  • OSとアプリの自動アップデートを有効にする。最適な時間を選択し、自動バックアップ/同期のスケジュールやその他のタスクの中断を防ぐ。
  • IPアクセス保護を有効にして、ログイン試行の失敗が多いIPアドレスをブロックします。
Graphical user interface, text, application

Description automatically generated

アタッカーは、自分たちの目的のために利用できる悪用可能な弱点を常に探しています。そのため、QNAPでは最新の情報セキュリティインテリジェンスを監視して、最新の詳細とソフトウェアアップデートを提供し、ユーザーのデータセキュリティを確保しています。データとプライバシーの保護を強化するため、私たちと協力して、この記事に記載されているアドバイスと推奨事項に従っていただけたらと思います。

Authored by: Michael Wang

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です