パスワードを忘れた? アカウント作成
14188846 story
ストレージ

アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 24

ストーリー by hylom
気をつけないとやられる時代に 部門より

Anonymous Coward曰く、

PC周辺機器メーカーのアイ・オー・データが、同社の運用するサービス「NarSus」に不正アクセスが発生し、これによってユーザーのメールアドレス、氏名、住所、電話番号、所属会社名、登録製品のシリアルナンバーなど約6万件が流出したと発表したITmedia)。

顧客DBを丸ごとやられてた感じだろうか。攻撃を受けたのは同社のNAS製品向け管理サービスとのことで、この影響で同サービスは停止状態になっているという。NAS自体が使えなくなる訳ではないようだが、インターネット経由でのNASのリモート管理機能も提供していたとのことで、コロナによる在宅ワークに影響が出るところはあるのかもしれない。

  • by Anonymous Coward on 2020年05月19日 13時09分 (#3817891)

    憶測でものを言うのもアレだが、仮に丸ごととして、約6万件って、
    消費者側からすると、そんなもんかなという気もするし
    提供側の視点からすると少なすぎる気もする。
    大口顧客が少なからずいるのだろうか?
    金にならないから金かけずにいたら、やられたとも邪推できるが。

    ここに返信
    • by Anonymous Coward

      売ってる側で時々サポートに回るけど登録してる人見たことない。

      • by Anonymous Coward

        みんなログイン時に必ず出てくる「NarSuS(ナーサス)」をご登録いただく事で、万が一のトラブル発生時にも的確な対応が可能となりますので、是非ご登録ください。 」ページを見せられてちょっとイラッとしながら「後で登録」をクリックしているんだね。こういうしくじりをしたのだから、「漏洩の危険があるので登録しない」ボタンを追加してほしいもんだよね。

        それとも、ここを見てるような人はOSに魔改造を加えてSSHでしかアクセスしないような人たちなのかな。

        • by Anonymous Coward

          RAID監視はZWSManagerで十分だし、LANDISKはWindowsStorageServerしか入れないからNagiosで一元管理してる。
          LinuxのNAS入れるときはsynologyやQNAP選択してますしねぇ。
          LANDISKやLinkStation入れる機会はめっきり減りました。

        • by Anonymous Coward

          ほんこれ。なんなんあれ。
          そもそもバックアップ用でインターネットどころか社内LANにすら繋いでない別ネットワークに隔離して運用しとるちゅーねん。

        • by Anonymous Coward

          そもそもNASがインターネットにつながるようなネットワーク構成にしない

          • by Anonymous Coward

            外からNASに繋がらなくてもNASから外に繋がるネットワーク構成は普通だろ。

        • by Anonymous Coward

          HDL-AAとかHDL2-AAシリーズならssh有効化はめちゃくちゃ簡単。中身はdebian jessie。
          もうすぐLTSサポート切れるけどどうするんだろう?無理やりstretchにアップグレードしてみたが純正サービスがいくつか動かん。

      • by Anonymous Coward

        外からアクセスする気が無ければ登録不要だよね。

      • by Anonymous Coward

        君の所に連絡すれば事足りるから

        信頼されてるって事だよ、言わせんな恥ずかしい

    • by Anonymous Coward

      テスト用サーバーを踏み台に本番顧客DBにアクセスされた、とかだとネットワーク構成的に深い侵入を受けている気がするけど、
      テスト環境のDBに本番DBのコピーデータを使っていた、のパターンのような気がする。

      そうするとテスト環境に使っていたのは本番データの一部だったりして、流出数が実際の登録ユーザー数より少ない数になるかも。
      とか思って、このコメントにぶら下げることにした。

    • by Anonymous Coward

      #3818004にも書きましたがNarSusは、基本ただの状態監視サービスです、何も起こらなければ定期的に温度とHD使用量、稼働時間を通知してくる程度です
      重要度が高めの所に設置するのであれば社内で利用している他の商用のサービスを利用するでしょうから
      状態監視が必要かつ、商用サービスのサービス程は必要ではない規模が利用するサービスと思われるの、
      正直、結構利用者がいるのねって感じです
      IO DATAの報告を信じるのであれば流出した情報も名刺の情報程度ですので、マンションなどの営業電話は増えるかもしれませんが
      他の個人情報流出よりユーザーへのダメージは低いのではないかと思われます

      IO DATAの法人向けエントリーモデルのNASは部署単位の利用であれば、
      ファイル単位の詳細アクセスログ、ウイルス対策追加、ディスク暗号化時ネットワーク上に復号キーを持つことで盗難時の難読化など値段の割に搭載機能のおかけで社内稟議通しやすくて良かったのですが・・・

      • by Anonymous Coward

        登録してますが、メーカーからのメールでの連絡さえ来ないですね。

  • by Anonymous Coward on 2020年05月19日 14時27分 (#3817960)

    エントリレベルのストレージ製品を使うこと自体は否定しないけど、
    「インターネット経由で管理」みたいなことをしなくてもよかったのでは…
    必要ならVPNでつないでやればいいのになんでこんなサービス使うんだろう。
    純粋な疑問です。

    ここに返信
    • by Anonymous Coward

      これただの状態監視です、メールで障害発生時と定期的に通知が来るので登録してます
      本体だけでも同等な事が出来ますがSMTPサーバを用意しないといけないので、443だけ通せばよいこれを使ってました

      ばっちり流出対象でしたが、流出した内容というか登録内容が名刺に記載されている程度の内容なので「へぇー」程度の認識です
      どちらかと言うと第3報まではきっちりしていた報告が途絶えた方がアレな感じです

      • by Anonymous Coward

        #3817960です。
        ああ、なるほど。状態監視ぐらいなら外に任せてもよいかもですね。
        自宅で使ってるNASはプロバイダのSMTPを使ってるのですが、企業ユースだと
        そういうのもやりにくそうなのでこのあたりもストレージ製品のサービスで賄うってことですね。

      • by Anonymous Coward

        勤め先ならともかく個人の場合は電話番号や住所って一般的な登録情報の中では最も漏れたら嫌な情報でしょ

    • by Anonymous Coward

      ある時期のファームから、ログイン時うんざりするほど勧誘画面が出るようになったですよ。毎回拒否の苦行でした。

  • by Anonymous Coward on 2020年05月20日 2時44分 (#3818342)

    今回はオンプレNAS管理のブローカーだけがヤラれた感じだけど、認証システムに欠陥があってデータ覗き放題になったらしゃれにならんなーとは常々思う。

    オンプレに拘る企業は結局「入退室管理の厳しい社内のオフライン保存」が一番安全と考えてしまう。
    実際は空き巣のリスクとかあるわけだけど。

    ここに返信
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...