QNAP extends critical updates for some unsupported NAS devices
2022/02/14 BleepingComputer — QNAP はサポートを延長し、一部の生産終了 (EOL:end-of-life) NAS デバイスのセキュリティ・アップデートを、2022年10月まで継続することにした。それにより、サポートが終了しているデバイスを使用する顧客も、アップグレードが可能となり、進化するセキュリティの脅威からデータを保護できる。
台湾の NAS メーカーである QNX は、「EOL モデルは、計算能力の欠如や動作メモリの不足に加えて、最新のコンポーネント・ドライバーのインストールが不可能なことなどの、技術的な制約を抱えている可能性がある。それらの理由により、QNAP は通常、製品が EOL を過ぎてから4年間は、セキュリティ・アップデートを維持している。 しかし、最近のセキュリティ脅威からデバイスを保護するための特別な取り組みとして、一部の EOL モデルのセキュリティ・アップデート期間を 2022年10月まで延長した」 と述べている。
同社は、サポート期限を 10月まで延長したが、これらの EOL デバイスには、深刻度の高い脆弱性や重要な脆弱性に対処する、セキュリティ・アップデートのみが提供されると付け加えている。現在、サポート期間が延長されている NAS モデルの詳細は、以下のとおりである。
| CPU Architecture | Last Supported NAS OS Version for the Model | Extended Date |
| x86 64-bit models or ARM models that support one of the NAS OS versions on the right. | QTS 4.2.6 QTS 4.3.3 QTS 4.3.6 QTS 4.4.1 | Effectively till October 2022 |
NAS をインターネットに接続しない
また、QNAP は、パッチが適用されていない脆弱性の悪用により、攻撃者が NAS を侵害しないようにするために、EOL NAS デバイスに関しては、インターネットに公開しないようにと付け加えている。
この警告は、Qlocker および DeadBolt ランサムウェアが、インターネットに露出した NAS デバイスを標的にし始める前の、2022年1月に出された警告と同じものである。
QNAP は、以下の対策を講じることで、攻撃から身を守ることができるとしている。
- ルーターのポート・フォワーディング機能を無効にする:ルーターの管理画面で、バーチャルサーバー/NAT/ポートフォワーディングの設定を確認し、NAS 管理サービ・スポート (デフォルトでは Port 8080/433) のポート・フォワーディング設定を無効にする。
- QNAP NAS の UPnP 機能を無効にする:QTS メニューの myQNAPcloud にアクセスし、”Auto Router Configuration” をクリックし、”Enable UPnP Port forwarding” の選択を解除する。
また、2月14日に QNAP は、マルウェアなどからの攻撃をブロックするために、NAS デバイスのセキュリティを強化する推奨事項に従うよう、ユーザーに呼びかけている。
1月7日に「QNAP 警告:インターネットに露出する NAS がランサムウェアに狙われている」という記事をポストしましたが、それに関連する内容のように思えます。QNAP と Synology には脆弱性と攻撃が多いように感じますが、ストレージという製品の特性なのでしょうか? 2月8日に「ストレージ・セキュリティの再考:3つの問題点と6つのヒント」という記事をポストしましたが、その辺りのことが書かれています。よろしければ、ご参照ください。
IoT OT Security News 