長期連載、知らない人は損している！何でもできる魔法の箱「QNAP」活用術第四回

本連載の目的はQNAPのNAS「Turbo NAS TS-231+」を様々に活用することで、NASを利用していない人たちより何倍も得しちゃおうというものである。前回は、QNAPの搭載されているアプリといったソフトウェア部分に焦点を当て便利なアプリを数多く紹介したかと思う。

各種アプリを設定し、実際に運用を開始する前に必ず設定しておかなければならないこととして「セキュリティの設定」がある。

これまで紹介してきたのは、本格的に運用に入る前の段階ということに注意してほしい。何しろ管理者アカウントである「admin」が有効な状態で、しかもパスワードも初期状態のままのはずだ。

もちろん自分で作成した管理者権限のアカウントでログインしているはずなので、管理者しか設定できない項目を設定することはできる。しかし、adminアカウントが有効であることは非常に危険である。



■ネットにぶら下がったQNAPは、外からはサーバにしか見えない
QNAPをインターネット経由でアクセスできるように設定しているということは「自分以外の人たちからもQNAPは見えている」ということになる。世の中には、特定のIPアドレスの範囲をどういったサーバが接続され、どういったサービスが走っているのかを細かくチェックするツールが存在している。

こうしたツールを使い、悪意のあるクラッカーたちは、ネット上にぶらさがっている不用心なNASサーバを乗っ取り、悪意のあるツールを配布したり、ウイルスを吐き出すように改ざんしたり、といった悪事を働く。

その悪事に知らないうちに加担させられ、ある日突然、令状を持った警察官が自宅にやってくるという笑えない話が起きる。たとえば自分のパソコンが遠隔ウイルスに感染させられ、そのPCで犯行予告のようなコメントを巨大掲示板に書き込まれてしまい、そのIPアドレスから追跡され、逮捕されてしまったなんていうことだ。そしてこの事例は、実際に起きたものである。

NASサーバを乗っ取ろうとする人たちにとってQNAPは、IPアドレスを持つLinuxサーバにしか見えない。誰が使っているのかなんて関係ないのだ。

そしてadminアカウントが標準設定でそのままパスワードから何から変更していないとしたら、いとも簡単にパスワードを破られ、サーバの設定から何から都合よく変更されてしまう。管理者権限を持たれてしまうとQNAPを自在に操ることが可能になる。

■使わないadminアカウントは無効にしてしまおう
すでに管理者権限を持つアカウントを持っているはずなので、または初期セットアップ時にQNAPにログインできた時点で、すぐにadminアカウントを「無効」にしてしまおう。

もちろんadminアカウントのパスワードをわかりにくいものに変えて残すこともできるが「admin」なんていうのは、最も推測しやすいアカウント名のひとつだ（ほかにもrootやAdministratorなどがある）。

こうした考えるまでもないユーザーIDは、総当たりでパスワードを試されると、簡単に突破されQNAPに侵入されてしまう。いちばんいい方法が、こうした推測しやすいユーザーIDは、最初から使わないということである。

そこで、管理者権限を持つアカウントでQNAPにログインしたら、このadminというユーザーアカウントを無効にしてしまおう。

無効にするのは簡単だ。QmanagerでスマホからQNAPにアクセスしたら、メニューにある特権の設定をタップし、表示されたユーザーリストの中から「admin」をタップする。

adminの設定項目の中から、一番右側のアイコンをタップし、プライベートネットワーク共有の設定項目を呼び出したら、すべてのフォルダの権限を「Deny：アクセス権を拒否」にしたら「適用」をタップすればOKだ。


QmanagerでQNAPにアクセスしたら「特権の設定」をタップ

ユーザーリストの中から「admin」をタップする

adminの設定項目で右側のアイコンをタップする

すべてのフォルダを「Deny」にしたら「適用」をタップする。

■ブラウザ経由でQNAPにアクセスし「admin」自体を無効にする
Qmanagerでの設定は、権限の設定だけなのでadmin自体は有効のままだ。これでは設定を変更されてしまう可能性もあるのでスマホのブラウザ経由でQNAPにアクセスし、adminアカウント自体を無効にしてしまおう。なお、PCが利用できる環境であれば、PC経由でアクセスしても同じ設定が可能だ。

今回はスマホ用のWebブラウザ「Google Chrome」を使っているがFirefoxなどでも同じように設定できるだろう。また、WebブラウザでQNAPにアクセスする場合、デスクトップ画面の表示は画面を回転させて横画面にしたほうが見やすいので、画面を回転させることをおススメしたい。

WebブラウザでQNAPにアクセスするには、QNAPのIPアドレス（LAN上のIPアドレスなので192.168から始まるアドレス）を知る必要がある。それにはQmanagerの起動画面を利用するといいだろう。Qmanegerを起動するとQNAPが表示されており、そこにIPアドレス（この場合は、192.168.0.3）が表示されているので、そのアドレスをWebブラウザのURL入力部分に入力すればOKだ。

Qmanagerの起動画面でIPアドレスを確認できる。

QNAPのデスクトップ画面（スマホでの横表示）。「コントロールパネル」をタップする。

Webブラウザでアクセスしたコントロールパネルでは、Qmanagerでは設定できなかった細かな設定が行える。通常ではQmanagerに用意されている項目で十分な設定が可能だ。デスクトップにある「コントロールパネル」を開く。コントロールパネルが開いたら「権限設定」から「ユーザ」を開く。ユーザ名のところにadminがあるだろう。

「コントロールパネル」の「権限設定」から「ユーザ」に。adminがある。

このadminの右側に「アクション」アイコンがあるので、一番左側のアイコンをタップする。有効／無効を設定する項目「アカウントプロファイルの編集」が呼び出される。そこにある「このアカウントを無効にする」にチェックを入れて「OK」をタップすれば、adminアカウントが無効になる。

「アカウントプロファイルの編集」から「このアカウントを無効にする」にチェックしOK

コントロールパネルのユーザ画面に戻って、adminのステータスが赤文字で無効になっていれば設定は完了だ。

adminのステータスが無効になっていればOK

■そもそも、そんなにアクセスされるものなのか？
「ネット上に星の数ほど存在しているであろうNASにユーザーでもないのにインターネット経由でアクセスしようと考える人なんて、そうそういないだろう」と考える人もいるかもしれない。

そうした人は、システムログの通知を見てみるといい。デスクトップ画面右上に通知されているイベントログを確認すれば、見ず知らずのIPアドレスからアクセスされていることがわかるはずだ。

アクセスに利用されているユーザーIDは「admin」「test」「ftp」「anonymous」というもの。これらのアカウント名は、定番とも呼べるID名で、実際にこのIDでアクセスしている人も多いと思われる。

さらにシステムログを詳細に見てみると、アクセスしようとしているIPアドレスもわかる。あまりにもしつこくアクセスしようとしてくるIPアドレスは、ブロックすることができるので、そう設定するといいだろう。

「admin」「test」「ftp」「anonymous」でアクセスしようとしているのがわかる

システムログを見ると、外部から様々なIDでアクセスしようとしてくるのがわかる。

しつこいIPアドレスは長押しして出てきたメニューでブロックリストに「期限なし」で追加してしまおう

■adminの無効化とブロックで防げるのか？
以上、QNAPをインターネット経由で利用する場合は、必ず今回紹介した方法でadminアカウントと不正アクセスをしようとしてくるIPアドレスのブロックを実行してほしい。また、これだけで不正アクセスが完全になくなるわけではないが、ネット上には、セキュリティの甘いNASサーバがほかにもたくさん存在している。

ログインしにくいサーバよりも、簡単にアクセスできる設定になっているサーバを不正アクセスして利用するほうが手っ取り早いため、今回のようにセキュリティ設定をしているサーバであると理解したら、アクセスしてこなくなる。新しく不正アクセスを試みるIPアドレスを見つけたら、ブロックすることを心掛けておけば、QNAPを安全に利用することができるだろう。



■QNAP Turbo NAS TS-231+
■WD Red「WD20EFRX」
■テックウィンド

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■パソコンに関連した記事を読む
・長期連載、知らない人は損している！何でもできる魔法の箱「QNAP」活用術第三回
・長期連載、知らない人は損している！何でもできる魔法の箱「QNAP」活用術第二回
・長期連載第一回目！知らない人は損している！何でもできる魔法の箱「QNAP」活用術
・ドスパラ、人気オンラインRPG「エルダー・スクロールズ・オンライン」推奨パソコンの販売を開始
・インテル、インテル Core m3 プロセッサーを搭載したインテル Compute Stickの新モデルを発売開始