NASをなるべく安全に運用するには？　“まずやるべきこと”を考えた：半径300メートルのIT

NASを標的にしたサイバー攻撃がたびたび話題になっています。CISAの「既知の悪用された脆弱性カタログ」にもNASの脆弱性が登録されている今、これに向けた対策は個人、組織を問わず喫緊の課題です。では、まず何から始めればいいのでしょうか。

　今回は前回に引き続き、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の公開する「既知の悪用された脆弱（ぜいじゃく）性カタログ」（Known Exploited Vulnerabilities Catalog）の中から筆者が注目するテーマを見ていきます。

　「既知の悪用された脆弱性カタログ」は、サイバー攻撃者に悪用されている既知の脆弱性をCISAがリスト化したもので、頻繁にアップデートされています。

　同カタログは最新の脆弱性だけでなく、古い脆弱性も追加されている点がポイントです。「Flash Player」（2020年12月にサポート終了）や「Microsoft Silverlight」（2021年10月にサポート終了）の脆弱性がいまだに追加されるのを見ると、多くの企業でアップデートしない（できない）システムがまだ残っており、被害に遭っている可能性があります。その意味でも、このカタログの更新情報はサイバー空間を客観的に見るための非常に良い資料だと思います。引き続きウォッチしておきましょう。

多機能になった今こそ、NASの運用を再考しよう

　「既知の悪用された脆弱性カタログ」においては、ここ最近NASに関する脆弱性の追加が目立ちます。例えばNASベンダーとして著名なQNAPの製品に関する脆弱性が続けて登録されています。QNAPに関しては「Deadbolt」と呼ばれるランサムウェアの被害が増えていることもあり、利用者は対策が求められています。

「QNAP」で検索すると、最近追加された脆弱性が幾つか表示される（出典：CISAのWebサイト）