普段 QNAP から届く情報はビジネスユースの製品情報が多いです。たまに 10GbE とキャッシュの新しい安価なカードが発表された、くらいの情報だとチラッと目を通す事はありますが、大抵は個人利用のユーザーには「砂場遊びに重機」という感じなのでスルーすることが大半です。ところが今日は
「QNAP NASを安全にご使用いただくために迅速な対応を。NASをインターネットへ公開することをやめてください」
とのタイトルでしたので、何事かと思いました。
ブログネタにもしているように、NAS から外部への接続は AWS にバックアップしているように普段から利用していますが、外部から NAS へのアクセスと言うと、会社勤めしていた頃設定したままになっている Cloud Link (外からも家の NAS にアクセスできるようなる)の設定が気になりました(念の為に補足しておくと、業務上の資料を自分の NAS に保存することなどやっていませんし、会社のネットワークから自分の家の NAS にアクセスするような怪しげな行為は行っていません!)。
仕方がないので、びっくりマークが付いている 中リスクを一つ一つ対応していくことにしました。どう考えても変更しておいた方がよさそうな署名なしアプリの実行許可とか、不要な外部向け Web サーバーとか disable していったのですが、Cloud Link はどうしたものかと逡巡。肝心のシステム管理者サービスの HTTP サポートはクリックしても対応方法が表示されずこれまた悩んでしまう。しかし再度 Cloud Link の項目を見ると、「提案を採用する」(だったと思う)ボタンがあり、これを押したら全ての対応を一括実行!(残念ながらボタンの画像を残していなかった。。。)
中リスクが無くなった!
Cloud link の詳細な影響とか確認せず実行してしまいましたが、実際に日本で被害にあった方もいらっしゃると言うことなので、まずは安全サイドに対応してみました。
ちなみにセキュリティポリシーを「中級」に設定してスキャンしてみましたが、まぁ対応可能なものばかりなのですが、とりあえず今日は「初級」で満点もらえたからよかったとします。