QNAP Systemsは4月19日(米国時間)、「What is UPnP Port Forwarding?|QNAP Blog」において、UPnPは安全なプロトコルではないと説明するとともに、QNAP NASを使う場合にはUPnP自動ポートフォワーディングなどを使わないことを推奨すると説明した。
直接グローバルIPアドレスを振らないこと、ルータやファイアウォールの内側に設置すること、UPnPポートフォワーディングや手動ポートフォワーディングなどを使わないこと、外部から接続の必要性がある場合にはVPNを利用することなどを推奨している。
UPnPはLANにおけるデバイス間通信を実現する方法として便利な機能だ。しかし、最近はデフォルトでUPnPを使ってインターネットから内部ネットワークにアクセスできる状況にしているルータがあり、注意が必要。UPnP自体はネットワークUDPマルチキャストを使っており、暗号化も認証も使われていない。サイバー犯罪者はこうしたUPnPの特性を利用してさまざまなサイバー攻撃を行うことが知られている。
QNAPは、仮にQNAP NASを直接インターネットに接続する必要がある場合、リスクを低減するために次の方法を検討したほうがよいとアドバイスしている。
- QNAP NASをルータやファイアウォールの内側に設置する。UPnPは無効化し、必要なポートのみでを手動で転送する
- 利用しないサービスはすべて無効化する
- デフォルトのポート番号は利用せず、すべて別の番号に置き換えて利用する
- HTTPSやSSHなどの暗号化された安全な通信のみを利用する
- 新しい管理者カウントを作成し、デフォルトの管理者カウントは無効化する
- 2要素認証を使用する
- ログインの試みが多く失敗するIPアドレスをブロックするようにIPアクセス保護機能を利用する
QNAP NASはしばしば脆弱性が見つかっている。安全な設定に関する情報を公開していくことで、デフォルトで安全な状態で使ってもらうことを狙っているものとみられる。