会社のセキュリティ対策はシステム管理者にとって悩みの種ですよね。
弊社ではセキュリティ対策の一環としてUTM(統合脅威管理)を導入しています。
ウイルスを駆除したり、外部からの不正なアクセスを検出・防御したり、
インターネットへの通信ログの取得などが出来る優れたNW機器です。
最近のUTMだとトラフィックをポートやプロトコルとしてではなく、
アプリケーションとして認識する機能がついてたりして、
例えばFacebookの閲覧は許可するけど投稿は禁止など
細かい設定ができるようになっています。
本日も怪しいログがないかアプリケーションログを眺めていたところ
こんなログが残っていました。
おや?誰かがBitTorrentを使って通信している!
幸いカテゴリフィルタでP2Pはブロックにしていたので通信は止まっていましたが
一体誰が通信していたのでしょうか。
送信元のIPアドレスは全て同じだったので調べた所なんと弊社に設置してある
NASのQNAPであることが判明しました。
一体なぜQNAPからBitTorrentの通信ログが検知されているのでしょうか。
公式サイトに以下の気になる記事がありました。
「Download Stationでファイルをダウンロードするには?」
https://www.qnap.com/ja-jp/tutorial/con_show.php?op=showone&cid=93
Download (4.2) Station は Web ベースのツールであり、RSS フィードを定期購読したり、BT、PT、Magnet Link、HTTP/HTTPS、FTP/FTPS、FlashGet、Thunder、QQDL を利用してインターネットからファイルをダウンロードしたりできます。 BT 検索機能を利用すれば、BT ファイルを簡単に見つけてダウンロードできます。QNAP NAS が年中無休のダウンロードセンターになります
どうやらこの「Download Station」というアプリはQNAPのWebUI上から
インターネットに転がるファイルを検索しダウンロードできるというアプリのようで、
その対応ファイルの中にBitTorrentも含まれていました。
どう見てもこのアプリが怪しかったので、早速QNAPのwebUIにログインし、
AppCenterからアプリ一覧を確認したところビンゴでした。
「Download Station」をインストールした覚えは無かったのですが、
どうやらデフォルトでインストールされているアプリのひとつのようで、
ファイルをダウンロードしていなくても定期的に外部と通信しているみたいです。
このようなログが残り続けるのは心臓に良くないのでアンインストールしましょう。
以下削除方法の説明
QNAPにログイン後、AppCenterを開き、「Download Station」のアイコンの下向き矢印をクリックし、[削除]をクリックします。
確認ダイアログが表示されるので [OK] ボタンをクリックします。
削除が開始されるので待ちます。
アプリ一覧からアイコンが消えたら完了です。
その後UTMのアプリケーションログを監視していましたが
同様のログは検出されませんでした。
QNAPはNASの中でも多機能で拡張性に優れていることが売りで、
新しいアプリもAppCenterから簡単にインストールできますが、
全てが全て安全と保証されているわけではないので注意が必要です。