読者です 読者をやめる 読者になる 読者になる

G@KIRA.NET×机上向学

ガジェット好きな筆者のPC・クラウド・アウトドア・防災に関する事を書いてみる、そんなブログです。

机上向学 真夏の夜の怖い話 NASにまつわる恐ろしい出来事…

つい昨日のことである。NASについてちょっと怖い経験をした。

その前にちょっと説明すると、今自宅で某B社の1TBのNASを改めて動かし始めた。
以前使用していたのだが色々環境を見直して行った結果、ネットワークから外すことになったのだが、ファームウェアをアップデートするとEyeFi経由でデジカメの写真を直接転送することが出来るようになったようなので今一度使おうと思ったのだ。
まだほとんどデータは入れずに色々設定していく中で「Webアクセス」の設定を行って稼働させた。

もちろん闇雲にアクセスではなく公開フォルダをしぼって、アクセス出来るのは管理者アカウントと自分の個別アカウントだけとして、公開用の識別アカウントとして
「xxxnas」(xxxは内緒)と名付けて準備した。

さて翌日出先のMドナルドに席を確保して、いざアクセス…あれ???何か様子が変だなと思って、その直後に愕然!まったくの他人様のNASの中身が見えてるじゃないですか!!!
びっくりして慌ててログアウトしてしばし自分がフリーズ…なんでこうなった?と自問してみてだんだん分かってきた。
まず最初にアクセスするときのNASの公開用アカウントを間違えて入力したのが始まり。自分のは「xxxnas」であるが、自宅のネットワーク内では「xxx_nas」として見えている。だもんで普通に間違えてアクセス時に「xxx_nas」とまず打ち込んだのだ。
そしてログインするときに自分の個別アカウントから旨くログインできなかった。
何か設定を間違えたのだろうぐらいにしか思わなかったのだが当然である、よそ様のNASヘ入っていたのだから。
ここで気がつけば良かったのだが、とにかくアクセスのテストだけしたかったので管理者アカウントでログインしたのだ。
某B社の管理者アカウントはデフォルトで決まっている…パスワードもだ…。自分のNASの管理者アカウントのパスワードは変更しているが、この時はごく自然にデフォルトのパスワードを打ち込んだのだ。
結果は上記の通り人様のNASへWEBアクセス経由で入ってしまったのだORZ その方のアクセスログにはしっかり私の足跡が残っていることでしょう。
で、思ったのがこのB社(あるいはI社でもですが)の管理者アカウントのパスワードをそのまま使用している人ってもしかして意外と多いのではないかと…
B社にしてもI社にしても非常に簡単にWebアクセスが出来る機能を提供しているのだが、このあたりのセキュリティーに関する啓蒙はあまりされていないと思う。
I社のWebサイトでは通信の暗号化を謳っているが、今回のケースでは管理者パスワードをセッティング時に変更するタイミングがないために起こりえることで、暗号化もへったくれもない話。
是非メーカーには管理者パスワードを最初にちゃんと変更しないと初期設定が進まないような仕組みを作れないものか考えて欲しいと思わせる一件だった…

どうでしょう、少し背筋が寒くなりませんか…