Synology製品に緊急の脆弱性 認証なしでリモート操作の恐れ：セキュリティニュースアラート

Synologyは、DSMなどのOSに任意のコマンドを遠隔で実行される重大な脆弱性が存在することを公表した。CVSSスコア9.8と深刻で、認証なしに悪用される恐れがある。対象製品の速やかなアップデートと、Telnetの無効化が強く推奨される。

[ITmedia エンタープライズ編集部，ITmedia]

　Synologyは2026年3月19日（現地時間）、同社のネットワークストレージOS「DiskStation Manager」（DSM）に重大な脆弱（ぜいじゃく）性「CVE-2026-32746」が存在することを公表した。

　悪用されると、外部からの不正な操作によって深刻な影響を受ける可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアは9.8で深刻度「緊急」（Critical）と評価されており、注意が必要だ。

認証不要で攻撃が成立、NAS内のデータ窃取や改ざんの恐れ

　この問題は、「GNU Inetutils」に含まれる「telnetd」に起因するもので、バージョン2.7までに影響する。「LINEMODE」のSLCサブオプション処理において、内部バッファーの容量確認が不十分なまま書き込みが行われ、結果として領域外書き込みが発生する。この挙動は典型的なバッファーオーバーフローに該当し、攻撃者が細工したデータを送り込むことで任意のコマンドを実行できる恐れがある。

　特に認証を経ずに攻撃が成立する点が問題とされる。ネットワーク経由で直接悪用される可能性があり、NASに保存されたデータが窃取、改ざんされ、内部ネットワークへの侵入拡大の足掛かりになる危険性がある。企業利用においてはバックアップや機密情報を扱うケースが多く、被害の影響範囲が広がる懸念がある。

　影響を受ける製品としては、DSM 7.3／7.2.2／7.2.1とDSMUC 3.1が挙げられる。Synologyはそれぞれに修正版を提供しており、DSM 7.3では7.3.2-86009-3以降、DSM 7.2.2では7.2.2-72806-8以降、DSM 7.2.1では7.2.1-69057-11以降への更新が必要となる。一部製品（DSMUC 3.1）については修正作業が継続中だ。一方でBeeStation OS 1.4やSRM 1.3、VS600HD 1.2は影響を受けないとされる。

　対策として、同社は速やかにアップデートを適用するよう促している。加えて、暫定措置としてTelnetサービスの無効化を案内している。設定画面のコントロールパネルからターミナル項目を開き、Telnetサービスのチェックを外すことで、攻撃経路の遮断が可能となる。遠隔操作が必要な場合は、Telnetの代わりに暗号化通信に対応したSSHの利用が推奨される。

　Telnetは通信内容が暗号化されない旧来のプロトコルであり、現代の運用環境では安全性の観点から利用を避けるケースが多い。今回の問題は、こうしたレガシー機能が抱えるリスクを示す形となった。Synology製品の利用者や管理者には、設定の見直しと継続的な更新対応が求められる。