Synology NAS「QuickConnect」の過去5年におけるセキュリティ事件と対策

4月 18, 2025

QuickConnectとは何か?その便利さと仕組み

QuickConnect(クイックコネクト)は、Synology社のNAS向けリモート接続サービスです。自宅やオフィスのNASに対して、ルーターのポート開放や固定IP設定をせずに外部からアクセスできる便利な機能として広く利用されています。具体的には、NASとSynologyのクラウドサーバーがアウトバウンド接続で連絡を取り合い(ホールパンチと呼ばれる手法)、クライアント側デバイスとの間に仮想トンネルを確立します​。うまくピアツーピア接続できない場合は、Synologyの中継サーバー(リレーサーバー)経由で通信する仕組みです。この接続経路では通信内容は常に暗号化されており、直接接続・中継接続のどちらの場合でもデータは保護されています​

このようにQuickConnectは、ネットワークや技術に詳しくなくてもNASに簡単にリモートアクセスできる反面、インターネット上にNASへの経路を公開することにもなります。そのため近年、この便利な機能を狙ったサイバー攻撃やセキュリティ上の懸念が指摘されてきました。以下では**過去5年間(おおむね2020年〜2024年)**に報告されたQuickConnectに関連する主なセキュリティインシデント、攻撃手法、利用上のリスクと、推奨される対策について解説します。

過去5年間の主なセキュリティインシデント

QuickConnect通信を狙った脆弱性と攻撃(2020–2021年)

まず、2020年から2021年にかけて、QuickConnect機能そのものの通信プロトコルに起因する複数の脆弱性が報告されています。例えば2020年には、QuickConnectの接続処理におけるアルゴリズムダウングレードの欠陥(CVE-2020-27652)が判明しました。この脆弱性により、攻撃者が通信の途中に入り込んで偽のサーバーになりすますことで、暗号化されたはずの通信を解読し機密情報を盗み取れる可能性がありました​。簡単に言えば、本来NASとユーザー間で安全にやりとりされるべきQuickConnectの接続情報が、悪意ある第三者に傍受・閲覧されてしまう恐れがあったのです。

さらに2021年には、QuickConnectの中継サービス部分(Synology DSMの「synorelayd」コンポーネント)において、データ送信時の処理に不備が見つかりました(CVE-2021-26566)。この脆弱性では、中間者攻撃(Man-in-the-Middle攻撃)の位置にいる攻撃者がQuickConnectの受信データを細工し、NAS上で任意のコマンドを実行させる可能性があると報告されています​。要するに、通信経路が乗っ取られた場合にNASを遠隔操作されてしまう深刻な欠陥です。これらの脆弱性はDSMアップデート(バージョン6.2.3-25426など)で修正済みですが、当時はセキュリティ研究者によって指摘され、Synologyからセキュリティアドバイザリが公開されました。幸い公表時点では「重大な被害の発生は確認されていないが、早急なアップデート適用が重要」とされており、実際の攻撃への悪用が広まる前に対策が講じられたようです。

NASユーザーを狙う大規模な不正ログイン攻撃(2021年)

機能の脆弱性とは別に、ブルートフォース攻撃(総当たりによるログイン試行)もQuickConnect利用者を含むNAS全般で問題となりました。その代表例が2021年夏に報告された大規模攻撃キャンペーンです。Synology公式の発表によると、マルウェアボットネット「StealthWorker」による大規模なNASログイン攻撃が観測され、既知の初期感染機器から他のNASに対して管理者パスワードの総当たり試行が行われていました​。この攻撃ではDSMの脆弱性自体は悪用されておらず、弱いパスワードのNAS管理アカウントが標的となりました。攻撃が成功するとNAS内にマルウェアやランサムウェア(身代金要求型ウイルス)をインストールし、さらにそのNAS自体が新たな攻撃の踏み台になる恐れがあったのです​

この件に関しSynologyは2021年8月4日に公式声明を出し、ユーザーに注意喚起を行いました​。特にQuickConnectを有効にしている場合や、NASをインターネット経由でアクセス可能にしている場合、第三者によるログイン試行のリスクが高まります。実際、「admin/administrator」といったデフォルト名や簡単なパスワードを使っているNASが世界中で狙われ、被害報告も出ています。このためSynologyは直ちにパスワード強度を見直し、二段階認証を有効化し、自動ブロック機能をオンにするなどの対策を強く推奨しました​。後述するように、こうした基本的なセキュリティ設定の徹底がQuickConnect利用時のリスク軽減に不可欠です。

QuickConnectを悪用したデバイスなりすまし攻撃(2022年)

2022年末には、QuickConnectの仕組み自体を高度に悪用した新たな攻撃手法がセキュリティ研究者から報告されました。国際的なハッキングコンテスト「Pwn2Own 2022」において、Synology NASとWestern Digital社のNASに共通するクラウド接続機能の弱点が指摘されたのです。その内容は、デバイス認証の不備を突いて「NASになりすます」手法でした。具体的には、攻撃者がSynologyのQuickConnectクラウド上で自分の悪意ある機器を被害者のNASであるかのように偽装し、本来のNASへの接続要求を横取りできるというものです​。これに成功すると、ユーザーがQuickConnect経由でNASにアクセスしようとした際に、実際には攻撃者の用意したサーバーと通信してしまう事態になります。

このなりすまし攻撃によって、ユーザーのログイン認証情報やNAS上のデータが盗まれたり、さらにはNAS自体を遠隔から完全に乗っ取られる(任意のコード実行による制御奪取)恐れがありました​。調査を行ったClaroty社の報告によれば、当時この脆弱性により数百万台規模のNASが潜在的に影響を受けていたとされています​。原因はデバイスをクラウド上で識別・認証する仕組みにおいて、推測可能な情報に頼っていたため(秘密情報ではなく公開情報を元にしていたため)で、攻撃者にとって付け入る隙となってしまいました​。Synologyはこの問題を認識後速やかにDSMアップデート(DSM 7.1.1や6.2.4などのパッチ)をリリースし、2023年前半までに修正を完了しています​。ユーザー側でも最新のアップデートを適用することで、この種の攻撃リスクを低減できます。

QuickConnect利用におけるリスクまとめ

以上の事例から明らかなように、QuickConnectはNASのリモートアクセスを大幅に簡便にする一方で、セキュリティ上のリスクも伴います。主なリスク要因を整理すると次のとおりです。

  • ソフトウェア脆弱性のリスク: 過去にはQuickConnect関連の脆弱性が複数発見されており、適切に対策されないと通信の盗聴やNAS乗っ取りにつながる可能性があります​。今後も未知のゼロデイ脆弱性が見つかる可能性はゼロではなく、QuickConnectを有効にしてNASをインターネットに公開している以上、それらの攻撃に曝露されるリスクがあります。

  • 不正アクセス(ブルートフォース)のリスク: QuickConnect ID(接続識別子)はユーザーが任意の名前を設定しますが、推測可能なIDや公開情報から類推されるIDだと、攻撃ボットによって発見される恐れがあります。ひとたびNASのログイン画面に到達されてしまえば、あとはパスワード次第です。弱いパスワードや既定のアカウントを使っていると、総当たり攻撃や資格情報(クレデンシャル)リスト攻撃によって侵入されるリスクが高まります。QuickConnect自体は便利な中継に過ぎませんが、「インターネット経由でログイン試行を受ける余地を与える」という点で、ローカルでしか使わない場合と比べリスクは上がります。

  • 第三者サービス依存によるリスク: QuickConnectはSynologyのクラウドサーバーを介して通信します。通常は通信内容は暗号化され、Synology側にも平文は漏れない設計とされていますが​、万一Synology社のサーバーやドメインが攻撃者に乗っ取られたり偽装された場合、ユーザーNASとの通信が妨害・傍受される可能性があります(実際にClarotyの研究ではクラウドサービスを偽装する手口が示されました​)。また、サービス障害時にはQuickConnect経由のアクセスができなくなるなど、可用性のリスクもあります。

要するに、QuickConnectを使うということはNASをインターネット上に(直接ポート開放するよりは安全とはいえ)公開することに等しいため、日々進化するサイバー攻撃の標的になり得ることを念頭に置く必要があります。

QuickConnect利用時のセキュリティ対策

QuickConnectを安全に利用するためには、以下のような基本的かつ効果的な対策を講じることが重要です。

  1. 最新DSMへのアップデート: Synologyが提供するセキュリティアップデートを欠かさず適用しましょう。上述したQuickConnect関連の脆弱性はアップデートによって修正済みです。DSMやパッケージを最新バージョンに維持することで、既知の脆弱性を突かれるリスクを最小限にできます。​
  2. 強力なパスワードとアカウント設定: 推測されやすい簡単なパスワードは厳禁です。十分に長く複雑なNAS管理パスワードを設定し、使い回しもしないでください。また、初期管理者アカウント「admin」は無効化し、権限の必要なユーザーのみリモートアクセスを許可するなど、アカウント管理を徹底します(DSM新規セットアップ時はadminはデフォルトで無効化されます)。総当たり攻撃への耐性を高めるため、パスワード試行に失敗したIPを自動的にブロックする「自動ブロック」機能や、一定回数ログイン失敗でアカウントを一時停止する設定も有効にしましょう​
  3. 二段階認証(2FA)の有効化: 認証にワンタイムコードなど第二要素を追加することで、仮にパスワードが漏洩・突破されても不正ログインを防ぐことができます​。Synology DSMはGoogle Authenticator方式などによる2段階認証に対応しています。管理者アカウントには必ず2FAを設定し、可能であれば他のユーザーについても適用を検討してください。
  4. アクセス制限の活用: DSMに搭載されているファイアウォール機能を使い、不要なサービスやポートからのアクセスを遮断しましょう。QuickConnect自体は特定ポートを開ける必要はありませんが、地域制限やIP制限を設けることで、想定しない国やネットワークからのアクセス試行をブロックすることが可能です(ただしQuickConnect経由の通信はSynologyサーバー経由となるため、制限の設定には注意が必要です)。必要に応じて、NASのSSHやTELNETなど他の管理プロトコルも無効化または公開禁止にしておくと安全性が高まります。
  5. 利用ニーズに応じた代替も検討: もしQuickConnectのセキュリティに不安がある場合や、より厳格なアクセス制御が必要な場合は、VPNの利用など代替手段も検討してください。例えば、NASが設置された自宅ルーターにVPNサーバー機能があればそれを使ったり、あるいはSynology NAS自体に内蔵のVPNサーバーパッケージを導入し、まずVPN接続で自宅ネットワークに入ってからNASにアクセスするといった方法です。最近ではゼロトラストネットワーク的なクラウドVPNサービス(例: TailscaleやZeroTierなど)をNASに導入し、安全な仮想ネットワーク経由でアクセスするユーザーも増えています。これらの方法ではNASのWeb GUI自体を直接インターネットに露出させないため、セキュリティ上の安心感を得られるでしょう。ただしその場合でもNASのファームウェア更新や認証の強化など基本対策は引き続き重要です。

まとめ

Synology NASのQuickConnect機能は、この5年間で利便性の高さゆえに多くのユーザーに使われる一方、攻撃者からも狙われてきました。通信プロトコルの欠陥による情報漏えいやリモートコード実行の脆弱性​、大量のボットネットを動員したパスワード総当たり攻撃​、さらにはサービスの設計上の穴を突いたデバイスなりすまし​など、多様なサイバーインシデントが報告されています。しかし幸いなことに、Synologyは公式アナウンスやアップデートで迅速に対応しており​、ユーザー側が適切に対策(アップデート適用・設定強化)を施すことで被害を未然に防げるケースがほとんどです。

最後に重要なのは、「便利さ」と「安全」は表裏一体であることを認識することです。QuickConnect自体はセキュアに設計されていますが、それでもインターネット経由のアクセスには常にリスクが伴います。NASに限らず「インターネットに公開されたサービスは潜在的に攻撃にさらされている」という前提で、防御策を講じておくことが肝要です。定期的なセキュリティ情報のチェックと対策のアップデートを怠らず、安全にSynology NASの便利な機能を活用していきましょう。

参考資料: QuickConnect機能の技術概要(Synology公式ホワイトペーパー)、Synology公式ニュースリリースおよびセキュリティアドバイザリ、セキュリティ研究機関のブログ記事など​。上記本文中の引用箇所はそれぞれ信頼性の高い情報源からのものであり、具体的な事例や勧告内容を示しています。これらの情報を基に、読者の皆様もご自身のNAS環境の安全性を今一度見直してみてください。

参考文献

– Synology Security Advisory Synology_SA_20_18 (CVE-2020-27652):
https://www.synology.com/security/advisory/Synology_SA_20_18

– NVD – CVE-2020-27652 (Algorithm downgrade vulnerability in QuickConnect):
https://nvd.nist.gov/vuln/detail/CVE-2020-27652

– Synology Security Advisory Synology_SA_20_26 (CVE-2021-26566):
https://www.synology.com/security/advisory/Synology_SA_20_26

– Synology PSIRT「Ongoing Brute-Force Attacks From Botnet (StealthWorker)」:
https://www.synology.com/en-global/company/news/article/BruteForce/Synology

– Bitdefenderブログ「Synology NAS Devices Targeted in Large-Scale Brute-Force Attack」:
https://www.bitdefender.com/en-us/blog/hotforsecurity/synology-nas-devices-targeted-in-large-scale-brute-force-attack

– Claroty Team82レポート「A Pain in the NAS: Exploiting Cloud Connectivity to PWN Your NAS」:
https://claroty.com/team82/research/a-pain-in-the-nas-exploiting-cloud-connectivity-to-pwn-your-nas-synology-ds920-edition

– Trend Microブログ「Defending Users’ NAS Devices From Evolving Threats」:
https://www.trendmicro.com/en_us/research/22/a/defending-users-NAS-devices-from-evolving-threats.html

– Synology QuickConnect White Paper:
https://global.download.synology.com/download/Document/Software/WhitePaper/Os/DSM/All/enu/Synology_QuickConnect_White_Paper_enu.pdf