『不正アクセス』のクチコミ掲示板

[のりっち〜]

添付のような感じの不正アクセスの履歴が数百レベルで警告に残っています。
（毎回違うアカウントとIPアドレスから）
2段階認証や、現在はquickconnectを不使用にしているので、ログインまではされてないと思っています。
怪しい中国語のようなアカウントや、海外っぽいアカウントなので、日本からのアクセスではなさそうですが
どのようにすれば、こういったのを防止できるのでしょうか？

ちなみに、quickconnect idを変えても減りませんでした。
外部からwebブラウザ等でアクセスする場合は、quickconnect idとアカウント、パスワードがばれると
ログインされてしまうと思っています。
違いますか？
NAS初心者なので、教えてくれたら助かります。

書込番号：25211846

[KAZU0002]

インターネットは世界に対して開かれていますので、「ドアを叩く」ことを防ぐことは基本的に出来ませんし。件のログも「防げた」という意味なので。外部からアクセスすることを目的としてNASを運用しているのなら、気にする必要は無いと思います。

書込番号：25211973

[CwG]

＞のりっち〜さん

こんにちは。

既に設定済みでしたらご容赦下さい。

本製品には、以下のようなセキュリティ対策が用意されているようですが、こちらを設定なさるのはどうでしょうか。

DiskStation Manager セキュリティ対策
https://www.synology.com/ja-jp/dsm/overview/security


個人的には NAS を安心して運用するのならば VPN サービスと併用するのがいいのでは？と思います。

Synology NASにおすすめのVPN 5選│安全、設定が簡単 2023年
https://ja.vpnmentor.com/blog/synology-%E3%81%AB%E3%81%8A%E3%81%99%E3%81%99%E3%82%81-%E3%81%AEvpn-%E9%81%B8/


ちなみに、以前、NAS を運用なさっていた方で、ランサムウェアの被害にあって、保存していたデータが全て暗号化されてしまい、元に戻せなくなったという方がいらっしゃいました（データを復号化するためには身代金をよこせと言ってきますが、たとえ身代金を払ってもデータは元に戻してはくれませんので、身代金を払うだけ無駄です）。


以下は参考までに。

「NAS」があなたの想像よりも危険な理由
https://techtarget.itmedia.co.jp/tt/news/2005/29/news01.html

以下は上記記事からの抜粋です。

＞対策として、NASに最新パッチを適用し、社外ネットワークからNASへのアクセスを許可するデバイスを必要最小限にする必要がある。
＞
＞攻撃者のマルウェアによるバックアップデータ侵害を防ぐための手段として、ヘゼルマン氏はバックアップを2種類のストレージに保存することを勧める。
＞
＞そのうち1つをクラウドストレージにすることで、セキュリティの向上をはじめとする複数のメリットを得られる可能性がある。

書込番号：25212412

[LsLover]

『
こういったのを防止できるのでしょうか？
』

ポートを開放していれば、ツールで容易に不正アクセスは可能ですので、防止はできないかと思います。
VPNサーバを導入して、インターネットからのアクセスはVPNサーバを経由してLAN側からアクセスするのも一案かと思います。

因みにログに記録されたDSMにsloginを試みているIPアドレスの所有者を確認すると、以下の結果となりました。
80.14.0.0/16のIPアドレスは、France Telecom/Wanadoo Franceが所有しているようです。

『
route: 80.14.0.0/16
descr: France Telecom
descr: Wanadoo France
』

77.27.64.0/18のIPアドレスは、R Cable y Telecomunicaciones Galicia S.A.が所有しているようです。

『
route: 77.27.64.0/18
descr: R Cable y Telecomunicaciones Galicia S.A.
』

『
外部からwebブラウザ等でアクセスする場合は、quickconnect idとアカウント、パスワードがばれると
ログインされてしまうと思っています。
』

もっと広範囲に（家庭用ルータや IoT機器など）セキュリティ対策をする必要があるかと思います。
（少々古い情報となりますが、）Synology NASがハッカーのターゲットになっているように思えます。

『
家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説
：
■DNS Amp攻撃
：
DNS Amp 攻撃とは、DNS リフレクション攻撃とも呼ばれる DDoS攻撃の一種で、一般公開されているアクセス可能な DNSリゾルバを利用し、狙ったユーザのシステムを DNS応答トラフィックでオーバーフローさせる攻撃です。
：
Synology 製の NAS（ネットワーク接続ストレージ）デバイスは、確認された DNS Amp攻撃事例全体の約半数で利用され、NASデバイス 1台あたり平均853件に上り、他社製のデバイス関連の事例の約2倍となっています。
』
https://blog.trendmicro.co.jp/archives/14185

『
Synology NAS 問題：OpenSSL の脆弱性が一部のバージョンに影響
』
https://iototsecnews.jp/2021/08/26/synology-multiple-products-impacted-by-openssl-rce-vulnerability/

『
Synology NAS活用【セキュリティ対策とファイル保護】
』
https://www.ask-corp.jp/guide/synology-nas-security.html

sloginの認証方式をパスワード認証から公開鍵認証へ変更するのも一案かと思います。

『
SSH 経由で RSA キー ペアで DSM にサインインする方法
』
https://kb.synology.com/ja-jp/DSM/tutorial/How_to_log_in_to_DSM_with_key_pairs_as_admin_or_root_permission_via_SSH_on_computers

書込番号：25213879

[タイタクパートラム]

あくまで一般論になりますが、インターネット側はPPPoEの常時接続でしょうか？もしそうであれば、たまに接続し直すとグローバルIPアドレスが変わりますので、相手がグローバルIP直打ちで来ている場合は「ストーカー対策でお引越し」というのと似た対策にはなります。合わせて、ダイナミックDNSを登録しているのであれば、その名称設定もたまに変更しておくと良いかもしれません。

あと、NAS側へのアクセスが恐らくブラウザで操作できる設定ページへのアクセスだと思うのですが、そのポートを変えられるようであれば初期値以外に変えておいてもいいかもしれません。ただし、これを変えると自分がアクセスするときもそのポートを指定し直す必要があるので注意が必要です。影響範囲が自分で理解できるかは要確認になります。分からない場合は触らない方が無難かも。

その他に、使っているルーターのセキュリティ設定で、pingに代表されるようなICMPというパケットがインターネット側から来た時に反応しないような設定が可能であれば、それを設定しておくのもいいと思います。例えば、私はYAMAHAの業務用ルーターという特殊なものを使っていますが、コマンドで「ip stealth」という設定を入れておくと、インターネット側からの返答リクエストを含むようなアクセス（凄くざっくり表現ですが）に返答しなくなります。つまり、探りを入れられても返事しないので居場所がバレにくくなります。自分の使っているルーターでどういった設定が可能かも確認しておくといいと思います。

私も以前NASに変なアクセスがあったことがありましたが、何か不正アクセスを検知した場合、先にIP引っ越しをして、その後にルーターのセキュリティ設定でできるだけ居場所を隠すのが常套手段ではあります。

書込番号：25214777

[のりっち〜]

みなさま色々と教えていただきありがとうございます。
とりあえずですが、Firewallの設定を変え、日本以外のアクセスを防止
DSMポートを初期値の5000、5001から変更
Quickconnect idの変更
こういった事をやる事でアクセスが無くなっております。
VPN等が理想なんでしょうが、月々の費用等のかかりますし、知識が乏しいこともあり断念
当面この設定で様子を見たいと思います。

書込番号：25215038

[ねくすぷれす]

のりっち〜さん添付のログ

のりっち〜さん
自分も同機種ユーザーの為に、不正アクセスは人ごとではありません。
のりっち〜さんの添付されていたコネクションのログ、自分のを確認しようとしましたが所在がどこかわかりません。
このログはNASにログインした後、どこへ進めば確認できるのか教えていただけないでしょうか。
よろしくお願いします。

書込番号：25216628

[LsLover]

『
このログはNASにログインした後、どこへ進めば確認できるのか
』

[パッケージセンター] から [ログ センター] パッケージをインストールしていないのでしょうか?

『
ログ センター
ログ センターは、中央管理されたログ管理アプリケーションです。次のようなタスクを簡単かつ効率よく行えるように、包括的なツールが用意されています。高度な機能を使用するには、[パッケージセンター] から [ログ センター] パッケージをインストールしていただく必要があります。
』
https://kb.synology.com/ja-jp/DSM/help/DSM/LogCenter/logcenter_desc?version=7

『
Synology NASのログセンターに記録されたログの抜粋を以下に示します。
』
https://masao-tec.com/synology-nas-firewall-settings/

書込番号：25216687

[のりっち〜]

LsLoverさん のおっしゃるとおり、ログセンターからの情報です。
特に警告等がなければ気にする必要はないと思います。

書込番号：25216964

[ねくすぷれす]

表示したメッセージ”高度な機能”

LsLoverさん
情報をありがとうございます。

パッケージセンターから”ログ”をインストール済みでした。
いつも確認していなかったので、すっかり忘れていました。

一つ解らないことが発生しました。
”高度な機能”について、インストールを薦めるウインドウ（添付）が表示されました。
ログに該当するパッケージはこれ以外に見つかりませんでした。
インストール済みのログを指しているのでしょうか。

ログの結果は、quickconnectを有効にしていないせいか、
外部からのIPアドレスで、接続はありませんでした。
小さな疑問：
・ログの記録件数が50件しか表示されない。
・ログが溜まったら、通知が来ないのか。

また、ファイヤーオールを有効にしていましたが、設定値を開いて見たら
なにも設定してありませんでした。
Synologyのサイトを見て、お勧めの値に設定してみようかと計画しています。

以上、お礼と新たに遣っていないことに気づけて良かったです。

書込番号：25217629

[LsLover]

実機を所有していませんので、参考程度の情報となります。

『
”高度な機能”について、インストールを薦めるウインドウ（添付）が表示されました。
ログに該当するパッケージはこれ以外に見つかりませんでした。
インストール済みのログを指しているのでしょうか。
』

投稿された画像を確認すると既に「ログセンター」は、インストール済みの状態のようです。
「ログ　センター」を開いた時に「高度な機能」についてのウィンドウが開いた状況ですので、「レ」次回からこのメッセージを表示しないとして、[OK]ボタンをクリックすれば、以後「高度な機能」の紹介ウィンドウは、表示されなくなると思います。

『
ログ センター
ログ センターは、中央管理されたログ管理アプリケーションです。次のようなタスクを簡単かつ効率よく行えるように、包括的なツールが用意されています。高度な機能を使用するには、[パッケージセンター] から [ログ センター] パッケージをインストールしていただく必要があります。
基本機能
：
高度な機能
・syslog ログ作成規格に基づいて、他のネットワーク デバイスからログを送受信する
・デバイスに応じてログ ボリュームを監視する
・ログ アーカイブの保存先を指定したり、自動的にログ アーカイブを行う規則を作成する
・他のネットワーク デバイスから受信したログを検索したり、絞り込む
』
https://kb.synology.com/ja-jp/DSM/help/DSM/LogCenter/logcenter_desc?version=7

書込番号：25218075

[ねくすぷれす]

LsLoverさん
ありがとうございます。

自分がつぎに確認してみることは、紹介していただいた”高度な機能”を設定してみます。

書込番号：25218322