Synology製品に緊急の脆弱性 認証なしでリモート操作の恐れ:セキュリティニュースアラート
Synologyは、DSMなどのOSに任意のコマンドを遠隔で実行される重大な脆弱性が存在することを公表した。CVSSスコア9.8と深刻で、認証なしに悪用される恐れがある。対象製品の速やかなアップデートと、Telnetの無効化が強く推奨される。
Synologyは2026年3月19日(現地時間)、同社のネットワークストレージOS「DiskStation Manager」(DSM)に重大な脆弱(ぜいじゃく)性「CVE-2026-32746」が存在することを公表した。
悪用されると、外部からの不正な操作によって深刻な影響を受ける可能性がある。共通脆弱性評価システム(CVSS)v3.1のスコアは9.8で深刻度「緊急」(Critical)と評価されており、注意が必要だ。
認証不要で攻撃が成立、NAS内のデータ窃取や改ざんの恐れ
この問題は、「GNU Inetutils」に含まれる「telnetd」に起因するもので、バージョン2.7までに影響する。「LINEMODE」のSLCサブオプション処理において、内部バッファーの容量確認が不十分なまま書き込みが行われ、結果として領域外書き込みが発生する。この挙動は典型的なバッファーオーバーフローに該当し、攻撃者が細工したデータを送り込むことで任意のコマンドを実行できる恐れがある。
特に認証を経ずに攻撃が成立する点が問題とされる。ネットワーク経由で直接悪用される可能性があり、NASに保存されたデータが窃取、改ざんされ、内部ネットワークへの侵入拡大の足掛かりになる危険性がある。企業利用においてはバックアップや機密情報を扱うケースが多く、被害の影響範囲が広がる懸念がある。
影響を受ける製品としては、DSM 7.3/7.2.2/7.2.1とDSMUC 3.1が挙げられる。Synologyはそれぞれに修正版を提供しており、DSM 7.3では7.3.2-86009-3以降、DSM 7.2.2では7.2.2-72806-8以降、DSM 7.2.1では7.2.1-69057-11以降への更新が必要となる。一部製品(DSMUC 3.1)については修正作業が継続中だ。一方でBeeStation OS 1.4やSRM 1.3、VS600HD 1.2は影響を受けないとされる。
対策として、同社は速やかにアップデートを適用するよう促している。加えて、暫定措置としてTelnetサービスの無効化を案内している。設定画面のコントロールパネルからターミナル項目を開き、Telnetサービスのチェックを外すことで、攻撃経路の遮断が可能となる。遠隔操作が必要な場合は、Telnetの代わりに暗号化通信に対応したSSHの利用が推奨される。
Telnetは通信内容が暗号化されない旧来のプロトコルであり、現代の運用環境では安全性の観点から利用を避けるケースが多い。今回の問題は、こうしたレガシー機能が抱えるリスクを示す形となった。Synology製品の利用者や管理者には、設定の見直しと継続的な更新対応が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
リソースの制約をどう克服するか? SCS評価制度に見る「持続可能なセキュリティ」の形
サプライチェーン全体にセキュリティを求められるなど、セキュリティ対策の重要性が高まる一方、専門人材の不足や実施コストの増大は避けて通れない課題です。SCS評価制度はその現実にどう折り合いを付けたのでしょうか。制度設計の裏側を読み解くと、単なる評価制度では終わらない“もう一つの意図”が浮かび上がります。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。