【NAS】NAS乗っ取られた？

　QNAPのNASを使っているのだが、NASと他のパソコンとの間でフォルダをリンクするQsync というソフトが異常を訴えた。

「異常な状態です」

　調べてみると、使っているアカウントでログインできない状態になっていた。

　当初はQNAPのサイトの方の問題かと思ったのだが、NASからは沢山の通知が届いていて、尋常ではないことが起きているようだった。

　出先からNASのUIにログインしようとするが、パスワードが違っていると言われる。

　ググってみると、NASは結構ハッキングされているらしい。

　実は自分も以前、気付くとサードパーティーのアプリをインストールされていたことがある。何かの踏み台にされた模様。パスワードを変え、不明なアプリを取り除き、QNAPのメルウエアリムーバーを導入した。その後は同様なことは起こっていない。以前に増してこまめにNASのシステムをアップデートするようにしている。

　前回はQNAP NASの脆弱性を使われた可能性もあるが、今回の敗因はデフォルトアカウントのadminを使っていたことだと思われる。
　無条件につくられるこのアカウントは削除できないものだと思い込んでいたのだ。しかし、先達のブログ記事を読むと削除できるとのことだった。

　家に戻り、QNAP NASの3秒リセットSW押しでadminアカウントをリセット。ログインして新しいアカウントを作り、そのアカウントでログインし直してadminアカウントを削除した。また、QNAPのサイトから自分のサーバーが検索できないように設定し直すなど、結局2日かけて対処した。

　これで落着となればよいのだが。


　実は、問題が起こった翌日も出先からログインできなくなった。
　朝はログインできたのだが、昼過ぎにはできなくなり、ログイン拒否どころかそもそもサーバーの反応がない。

　家に戻って再度adminアカウントのリセットしたが、調べてみると家庭内LANが異常を起こしていて、無線親機から他の機器につながらない状態になっていた。恐らくネットワーク全体がおかしくなっていたのだろう。NASがWebログインを受け付けなかったのはそのための模様。
　無線親機の電源を入れ直して解決。

　NASのハッキングとLANの異常は、何か関係がある可能性がある。油断できない。取りあえず現在は問題は起きていないのだが。

　NASはインターネットにつながったLinuxマシンなので、ハッキングを試みる連中にとっては格好の標的らしい。NASはPCほどにはセキュリティに気を使われにくく、メジャーどころのNASは狙い撃ちされやすいのだろう。

　実際、これまでもたびたび何者かからたびたびログインの試みがなされていた。
　数回の失敗で5秒のロックダウンをかける仕様なので、大丈夫だとタカをくくっていたのだが、必ずしも安全とは言えないのかもしれない。
　今回、正面突破されたのか、何らかの別の方法を使われたのかは分からないが、問題が生じたちょっと前に数回IPv6のアドレスからadminでのログインを試みられていた。

　問題発生後、リセットに反応せずNASの動作がおかしくなっていた様子なので、正面突破ではなく攻撃でNASが動作不良を起こしていたのかもしれない。