QNAP「お願いだからUPnPを使わないで」リスクを低減する8つの接続ルール提示
QNAPはUPnPでのポート開放を利用しない方がいいとアドバイスした。QNAPは同プロトコルの問題点について指摘しつつ、これを悪用したサイバー攻撃が発生していると解説している。
» 2022年04月22日 07時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
QNAP Systems(以下、QNAP)は2022年4月19日(現地時間)、同社のブログでUPnP(Universal Plug and Play)によるポート開放の危険性について指摘した。
同社は、QNAP製NASを利用する際に推奨する接続方法を示すとともに、どうしてもNASをインターネットに直接接続する必要がある場合の代替策についても解説している。
サイバー攻撃を受ける危険も セキュアなNAS運用を実現する8つのルール
UPnPは主にLANでデバイス間通信を実現するために利用されるプロトコルだ。簡単な初期設定だけで、対象ネットワーク内にある他のデバイスとの通信を実現できる。その利便性からデフォルトで同プロトコルが有効になっているデバイスも多い。
しかしQNAPはUPnPが安全ではないプロトコルだと説明し、その理由としてUDPマルチキャストを使用している点、暗号化や認証機能を持たない点、他のデバイスのポートマッピングを要求できる点などを挙げている。実際、サイバー攻撃者はこれらのUPnPの特性を悪用し、システムにマルウェアを感染させたり、制御権を奪ったりしている。
関連記事
QNAP製NASにOpenSSL起因の脆弱性 現時点でアップデートは未提供
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。
合計520の脆弱性に対処 Oracleが2022年4月のクリティカルパッチアップデートを公開
Oracleは2022年4月の「Oracle Critical Patch Update Advisory」を公開した。多岐にわたる製品で脆弱性が発見されており、CVSSv3スコア10.0に分類されるものもあり迅速にアップデートを適用してほしい。
北朝鮮が支援するAPTグループが暗躍 ブロックチェーン関連企業を標的に
CISAらは、北朝鮮が支援するAPTグループがブロックチェーンを標的としたサイバー攻撃を実行していると注意喚起を促すアラートを発行した。複数の企業や取引所、個人が標的にされており注意が必要だ。
CISAが脆弱性カタログに9個の脆弱性を追加 Chrome、VMware製品などが対象に
CISAは「既知の悪用された脆弱性カタログ」に新たに9個の脆弱性を追加した。追加された脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
ITmediaはアイティメディア株式会社の登録商標です。