最近は、NASをターゲットにしたサイバー攻撃が複数確認されており、個人利用においてサイバー攻撃者による脅威に常に晒されています。今回は、家庭用NASを利用する方・運用する方がセキュリティを担保する上で、確認すべきチェックリストを紹介します。
NASのソフトウェア(OS)更新は自動になっているか?
DSM(Synology)やQTS(QNAP)などのOSは常に最新の状態にしておくことがめっちゃ重要です。脆弱性が発見された場合、メーカーは修正パッチを配布しますが、修正パッチが適用されていなければ脆弱性が残り続けてしまします。必ず、ソフトウェアの「自動更新」をオンにしておくことを推奨します。
ただ、この自動更新も曲者で、「自動更新がオンになっているからといって、必ずしも全てのソフトウェアアップデートが自動適用されるわけではない」ということに注意してください。そのため、必ず自分自身で定期的にNASの設定画面にアクセスして、ソフトウェアが最新版になっているか?や、インターネット上において自身の所有するNASにおいて脆弱性が発表されていないかという情報を常に確認しておく必要があります。
NASが不必要に外部ネットワークに晒されていないか?
ルーターのポート開放(ポートマッピング)やDMZ設定で、NASをインターネットに直接公開していないことを確認することも重要です。
また、そもそもとして外部からアクセスする必要がない場合は、外部アクセス機能をオフにするのが最も安全です。外部アクセスが必要な場合でも、VPN(Tailscaleなど)を利用するか、QuickConnectのようなNASメーカーが提供する安全な接続方式を利用し、ルーターのポートは閉じておくのが重要です。
事実、2021年には「StealthWorker」と呼ばれるボットネットが、外部公開されたSynology製NASに対して大規模な総当たり攻撃(ブルートフォース攻撃)を仕掛け、ログインを突破しようとする事例が発生しています。
2段階認証(2FA)を有効にしているか?
万が一パスワードが流出した場合に備え、2段階認証(スマホアプリでのワンタイムパスワードなど)を必ず設定しましょう。管理者アカウントだけでなく、利用する全てのアカウントで有効にすべきです。
パスワードの強度は十分か?すでに流出していないか?
他のサービスで流出したパスワードを使い回していると、パスワードリスト攻撃によって簡単にNASへの攻撃者からのアクセスを許してしまう形になります。パスワードマネージャーを利用してランダムな文字列をNASのパスワードには用いましょう。
また、これまでのサイバー攻撃ですでに流出したアカウント情報を確認できるサービスとして、「Haveibeenpwned?」というサービスがあります。このサービスに自身のアカウント情報を入力すると、過去に自
デフォルトのポート番号を変更しているか?
Synologyなら5000/5001、QNAPなら8080などのデフォルトポートは攻撃者に知られています。これらを推測されにくい番号(例: 38472など)に変更するだけでも、無差別なスキャン攻撃を回避できる可能性が高まります。
特定の国からのアクセスをブロック(ジオブロック)しているか?
NASのファイアウォール設定で、自分の居住国(日本など)以外からのアクセスを拒否する設定は非常に有効です。多くの攻撃は海外のIPアドレスから行われるため、これだけでリスクを大幅に低減できます。
ログイン失敗時の自動ブロックを有効にしているか?
短時間に複数回ログインを失敗したIPアドレスを永久にブロックする機能を有効にしましょう。ブルートフォース攻撃(総当たり攻撃)を防ぐのに役立ちます。
コメント