QNAPのNASをご利用の方、注意です!
QNAP NASにOpenSSLの脆弱性が発見されました。
悪用されると、攻撃者はDoS攻撃(サービス拒否攻撃)が可能だそうです。
次のオペレーティングシステムのバージョンが影響を受けます。
QTS5.0.x以降
QTS4.5.4以降
QTS4.3.6以降
QTS4.3.4以降
QTS4.3.3以降
QTS4.2.6以降
QuTSヒーローh5.0.x以降
QuTSヒーローh4.5.4以降
QuTScloud c5.0.x
現在、この脆弱性を軽減する方法はありません。
セキュリティアップデートが利用可能になり次第、確認してインストールすることをお勧めします。
シンプルにデータを保存したいだけで導入した方も多いのではないでしょうか? なんかヤバそうなのはわかる、みたいな。
「このNASの何が悪いの?」について何となく理解してもらおうと思います!
■OpenSSLとは?
まずはSSL証明書から。
SSL証明書とは、相手に「本人だよ!」と証明するものです。
なりすまし防止ですね。
また、情報漏えい防止の役割もあって、ブラウザ上でクレカや銀行情報を入力する際の通信を暗号化することもできます。
簡単にこんなかんじ。
で、そのSSL証明書を作成してくれるのがOpenSSLです。
QNAPでは、セキュリティ強化をするために用いられているということです。
■どんなセキュリティ効果?
公式ページより引用します。
・個人または会社の QNAP NAS に接続するとき、盗聴を防ぎます。
・改ざんを防ぎ、正しいQNAP NAS とやりとりします。
・あなたと他の NAS ユーザーに、接続/Web サイトが安全ではないという警告が表示されなくなります。
要するに、こんな重要なセキュリティ機能に脆弱性が発見されてしまった上に、悪用されるとNASの機能やサービスが利用できなくなる(サービス拒否)状態に陥ってしまう可能性があるということです。
冒頭でもお伝えしましたが、今のところ改善策はないとのこと。ご利用中の方は、しばらく最新情報に注目していたほうがいいですし、究極の手段としては、LANの切り離しかもしれません・・・