“うっかりスキャン”でNASへログインできない状態に……　ネットワーク内の脆弱性をあぶり出す無償ツール「Bitdefender Home Scanner」を試す

Bitdefender Home Scannerの通知画面

　Bitdefenderから、ホームネットワークのセキュリティリスクを診断できる無償ツール「Bitdefender Home Scanner」がリリースされた。ネットワークにつながれている機器の検出や脆弱性のスキャンを実行できる。

　こうしたツールは便利な反面、思い付きで使うと、例えばNASなどの機器側で保護機能が働いてしまうなど、面倒な手間が増えることもある。まずはそうした例から紹介しよう。

NASへのログインができない状態に　うっかりしていた――。

　筆者宅で利用しているSynologyのNASには、アカウントのロックアウト機能が搭載されているのだが、それを有効にしていることをすっかり忘れたまま、自宅のネットワークに接続された機器の脆弱性をチェックできる「Bitdefender Home Scanner」を実行。その後、NASの設定を変更して、もう一度、スキャンを実行しようと試みたところ、NASの管理画面にアクセスできない状況に……。

　見事に、不正な管理者アカウントでのログインが短時間に何度も繰り返されたことで、当該PCからのアクセスが無期限に遮断されてしまっていた。

　幸い、アクセスが禁止されたのは、チェックを実行した当該PCのIPアドレスだけだったので、別のPCから管理画面にアクセスして無事にロックアウトを解除できたが、久しぶりに「やっちまった……」と肝が冷えた瞬間だった。

　思い付きでネットワークスキャンを実行すべきではないと実感した一方で、家庭でのセキュリティチェックなんて、大抵は思い付きで実行する上、ロックアウトされた場合の対処の仕方なんて分からないこともままあるのだから、今後は、こうしたトラブルも珍しくなくなるのだろうと、実感したところだ。

「Bitdefender Home Scanner」の実行で、アカウントがロックアウトされてしまったNASのログイン画面

ネットワーク機器を発見して自動的にチェックする

　Bitdefenderのサイトから無料でダウンロードできる「Bitdefender Home Scanner」は、ネットワークに接続された機器の検出と、その機器の安全性をチェックできるセキュリティ対策ソフトだ。

　同社は、ネットワークに接続するアプライアンスタイプのセキュリティ機器「Bitdefender BOX」（こちらの記事を参照）を発売しているが、今回のソフトウェアは、言わば、このBitdefender BOXへのアップグレードを後押しするようなツールだ。Bitdefender BOXでは、ネットワーク内の通信を監視して、外部からの攻撃や、内部に存在する感染PCからの外部へのアクセスを遮断できるが、このような保護機能は省略されており、セキュリティチェックのみに特化した簡易的なツールとなっている。

　具体的に何をチェックできるのかというと、以下の通りだ。

• 弱い暗号化の通信
• 安全ではない認証
• 危険なログインアカウント
• 隠されたバックドア

　基本的には、ネットワーク内の機器に対してポートスキャンやadminアカウントなどでのログインを試行し、悪用されそうな通信やアカウントを発見すると、それを警告として表示するようになっている。

　使い方は簡単で、同社のウェブサイトからソフトウェアをダウンロードし、PCにインストール。利用するためのアカウントの登録やスキャンするネットワークの選択など、簡単な初期設定を済ませるだけでいい。

　これで、自動的にネットワーク内の機器がリストアップされ、それぞれの機器に対してのセキュリティチェックが実行される。

　テレビやSTB、監視カメラなど、家庭につながるネットワーク機器は増加する一方で、現在、一体どんな機器がネットワークにつながっているのかを正確に把握することは、もはや困難になりつつある。それをリストアップできるだけでも、本ソフトウェアの利用価値はある。

　ルーターやNASのIPアドレスが分からない……などというケースでも、このツールがあれば、IPアドレスやMACアドレス、判明する場合は、メーカー名と、プリンターやNASなどの種類までを表示することができる。

　PCに常駐して稼働するため、電源オフなどで初期設定時に検出できなかった機器がネットワークに接続されると、それを自動的に検出し、ポップアップ画面でユーザーに通知することもできる（検出と同時にスキャンも可能）。このため、ネットワーク管理ツールとして便利な一面も持っている。

Bitdefenderのサイトから無料でダウンロードして利用できる。現状は日本語はサポートされない

Bitdefender Home Scannerのスキャン画面。セキュリティチェックに加え、ネットワーク内の機器のインベントリ管理、IPアドレスのチェックなどに活用できる

設定ミスや確認漏れを防止

　UIが英語となるのが欠点ではあるものの、検出結果も分かりやすい。問題ない機器は「NO RISK FOUND」と緑の文字で表示され、何か問題がある場合は「POTENTIALLY AT RISK」とオレンジで表示される。

リスクが発見された場合はオレンジ色で「POTENTIALLY AT RISK」と表示される

　実際、筆者宅の環境でテストしてみたところ、2つの機器でリスクが発見された。

　1つは、ブラザー製のインクジェット複合機だ。発見されたリスクは「Weak username/password detected on ftp」で、チェックしてみると確かにFTPによるAnonymous接続が可能だった。

　この複合機では、FTPを使ってNASなどにスキャン結果を保存できるので、その設定に関連するものと考えられる。実際に、FTPで接続してみても、特に何もファイルは見えなかったため、これが即座にマルウェアなどに悪用されるわけではなさそうだ。ただ、普段、FTP機能を使っているわけでもないので、早速、複合機の設定画面でFTPを無効化しておいた。

　その後、もう一度スキャンを実行してみたところ、今度は「NO RISK FOUND」に表示が変化したことを確認できた。

ブラザー製複合機でFTPによるAnonymousアクセスが可能だった

FTPは使わないのでサービスを停止しておくことで回避

　もう1つは、冒頭でも取り上げたSynologyのNASだ。この機器では、以下の4つの脆弱性が発見された。

• Denial of Service vulnerability detected on ssh
• Denial of Service vulnerability detected on http
• Arbitrary code execution vulnerability detected on http
• Sensitive data access vulnerability detected on ssh

　このうちSSHに関しては、テストでSSHを有効化しておいたままだったので、これを無効化することで対処した。

　一方、HTTPのDoSとコード実行の脆弱性については、実質的に対処のしようがなかった。SynologyのNASにはDoS保護機能が搭載されているので、これを有効にしたり、ファイアウォールを使ってHTTPにアクセスできる端末を制限したりしたが、「Bitdefender Home Scanner」での表示が変わることはなかった。

　「Bitdefender Home Scanner」の欠点は、このように脆弱性を発見したと表示されるものの、それがどの脆弱性に起因するものなのか、どのような理由で脆弱性ありと判断したのかという詳細が分からない点だ。

　「Vulnerability Details」で詳細を表示することはできるものの、説明は「サービスが止まる可能性がある」といった一般的なことしか記載されておらず、対処方法としても「デバイスやサービスをアップデートせよ」と、一般的なことしか表示されない。

　先に触れたように、本ソフトウェアは最終的にBitdefender BOXの利用につなげるためのものである上、「Home」ユーザーには、そこまで詳細な情報は不要という考え方も分からなくはないが、テスト時のログくらいは表示できるようにしてくれてもよさそうなものだ。

SynologyのNASで発見されたリスク。SSHを有効にしておいたのを忘れていたので、無効にして回避

HTTPのリスクに関して、何らかのアクションを採りたいのだが、リスクの詳細が表示されないため、対処のしようがない

限界はある

　というわけで、今回「Bitdefender Home Scanner」を実際に試してみたが、脆弱性のチェックが手軽にできるだけでなく、ネットワーク機器の検出や管理にも活用できるので、無料のツールとしては利便性が高いと言ってよさそうだ。使わないサービスの検出や、管理者パスワードの設定忘れなど、うっかりミスを発見するのには十分な効果が期待できる。一度実行してみる価値はあるだろう。

　しかしながら、詳細な原因の追及には物足りない上、以前に本コラムで取り上げた「Nessus Home」ほど高度なチェックはできない。あくまでも簡易的なツールであることを理解した上で使うといいだろう。

ネットワークに新しいデバイスが接続すると、自動的に検出して通知される。発見したデバイスの自動チェックも可能