不可解すぎる。
UGREEN NASは、外出先から自らのNASへアクセスするためにUGREENlinkサービスへアカウント登録することができる。しかし、筆者はこのオプションを有効にしてないというのに、22(SSH)や9443ポート(管理画面)宛にアクセスが始まった。いったいどこへのアクセスでGIPが情報公開されたのだろうか…
コントロールパネル→リモートアクセス→UGREENlinkリモートアクセス
思い当たる設定項目を見回ったものの、勝手にONになってるような気配はない。また、ここ数日で他の設定変更した覚えもない。
コントロールパネル→デバイス分析→OFF
9999にもアクセスがあったが、9443共に管理画面へのWebアクセスがこれらのポートを使う標準設定になっている。
コントロールパネル→サービス→(ポート番号の確認)
本件の事象からも、管理画面の標準ポート番号を変更しておいた。UPnPも不安。
取りあえずルーター(UCG-Ultra)でブロックしているから良いものの、この状況が気持ち悪くてたまらない。
アクセス頻度から見れば、以降も続きそう。
思い返せば、いちばん最初に電源ONしたのは9月初旬。3ヶ月前のこと。
NASを外出先から利用している人は要注意だ。環境によっては、NASにアクセスするための情報が収集され、検索可能になっている可能性がある。「Censys」によって、何が公開されるのか? どうすれば遮断できるのか? を解説する。
internet.watch.impress.co.jp
憶測ですが、アプリアップデートサーバ(サプライチェーン攻撃)へのアクセス情報ですかね…。
追記
ユーグリーンに問い合わせたところ、NASから内部情報を流出するような事は無いとのこと。まぁ、そう回答しますよね…。
この問題の根深い点は、NASのログを確認したところで攻撃側の情報しか分からない点。そしてやむを得ずルーターでグローバルからNAS宛のINを絶つと、NASのアップデートさえできなくなってしまう。。。
