QNAP NASに大量のアクセス警告ログが…

自宅で運用しているQNAP NASのうち、1台で、大量の警告ログが記録されていました。

大量の警告ログ

管理画面にログインすると、画面上部にこのような表示が。

なにやら、多くの(10を超える)通知があるようです。

詳細を確認すると、

このように、大量のログイン失敗の警告です。adminでのログイン失敗は、不正アクセスを試みるケースと考えることが出来るので、ぞっとしますよね。

誰が不正アクセス?

気になるので、通知センターを確認します。

すると、このような画面が表示されました。

「アクション」は、「ログインに失敗」です。

で、どこから攻撃を受けているんだろう、と思えば、送信元IPは、「127.0.0.1」。NAS自身です。え?

ローカルネットワーク内で、管理画面にadminでアクセスしようとして、パスワード入力を間違ってしまった場合などは、このようになります。

送信元IPに、ログインしようとしたPCのIPアドレスが表示されています。

外部からの不正アクセスなら、グローバルIPアドレスが表示されるはずです。

でも、大量のログは、127.0.0.1。誰がアクセスに失敗しているのか?

少なくとも、ルータの設定上、外部からこのNASに辿り着くことは出来ないはずなので、そこまで深刻に考えなくてもいいのかなぁ、なんて甘いことを考えていたんですが、結論は得られず。

答えはアップデートの中に

その不正アクセスっぽいログが大量に出ていたNAS。

App Centorに、最新へと更新されていないアプリがいくつか見つかりました。

その一つに Security Counselor がありました。

で、そのリリースノートを見て見ると…。

Security Counselor 2.4.3.8

( 2023/02/20 )

[Fixed Issues]
– Fixed an issue where Security Counselor would generate warning logs consecutively from source IP address 127.0.0.1 when the app token expires. When the app token expires, the application would fail to run the scheduled Security Checkup scan. QNAP recommends logging in to the NAS desktop and reopening Security Counselor to fix this issue.

1ヶ月ほど前のリリース分ですが、そのバグ修正の内容が、まさにこれ。

アプリ トークンの有効期限が切れると、セキュリティ カウンセラーが送信元 IP アドレス 127.0.0.1 から連続して警告ログを生成する問題があった、とのこと。

さらには、アプリ トークンの有効期限が切れると、スケジュールされたセキュリティ診断スキャンを実行できなかった、と続きます。

というわけで、Security Counselor を最新にアップデートし、セキュリティ診断を有効に変えておきました。

念のため、スケジュールをすぐ後の時間に変更して、きちんとセキュリティ診断が働くかを確認。

指定時間に診断が始まりましたし、これで大丈夫でしょう。きっと。

NASQNAP,Security Counselor

Posted by Tsucchy