ニュース
QNAP「お願いだからUPnPを使わないで」リスクを低減する8つの接続ルール提示
QNAPはUPnPでのポート開放を利用しない方がいいとアドバイスした。QNAPは同プロトコルの問題点について指摘しつつ、これを悪用したサイバー攻撃が発生していると解説している。
QNAP Systems(以下、QNAP)は2022年4月19日(現地時間)、同社のブログでUPnP(Universal Plug and Play)によるポート開放の危険性について指摘した。
同社は、QNAP製NASを利用する際に推奨する接続方法を示すとともに、どうしてもNASをインターネットに直接接続する必要がある場合の代替策についても解説している。
サイバー攻撃を受ける危険も セキュアなNAS運用を実現する8つのルール
UPnPは主にLANでデバイス間通信を実現するために利用されるプロトコルだ。簡単な初期設定だけで、対象ネットワーク内にある他のデバイスとの通信を実現できる。その利便性からデフォルトで同プロトコルが有効になっているデバイスも多い。
しかしQNAPはUPnPが安全ではないプロトコルだと説明し、その理由としてUDPマルチキャストを使用している点、暗号化や認証機能を持たない点、他のデバイスのポートマッピングを要求できる点などを挙げている。実際、サイバー攻撃者はこれらのUPnPの特性を悪用し、システムにマルウェアを感染させたり、制御権を奪ったりしている。
関連記事
- QNAP製NASにOpenSSL起因の脆弱性 現時点でアップデートは未提供
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。 - 合計520の脆弱性に対処 Oracleが2022年4月のクリティカルパッチアップデートを公開
Oracleは2022年4月の「Oracle Critical Patch Update Advisory」を公開した。多岐にわたる製品で脆弱性が発見されており、CVSSv3スコア10.0に分類されるものもあり迅速にアップデートを適用してほしい。 - 北朝鮮が支援するAPTグループが暗躍 ブロックチェーン関連企業を標的に
CISAらは、北朝鮮が支援するAPTグループがブロックチェーンを標的としたサイバー攻撃を実行していると注意喚起を促すアラートを発行した。複数の企業や取引所、個人が標的にされており注意が必要だ。 - CISAが脆弱性カタログに9個の脆弱性を追加 Chrome、VMware製品などが対象に
CISAは「既知の悪用された脆弱性カタログ」に新たに9個の脆弱性を追加した。追加された脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.