読者です 読者をやめる 読者になる 読者になる

WD社「MyBookLive/MyCloud」のリモートアクセス時のセキュリティ

家電 パーソナルクラウド MyBookLive セキュリティ

パーソナル・クラウドの「MyBookLive」(MyCloud)。
HDDメーカーのWesternDigital社の製品すね。


WD My Book Live 2.0TB (LAN接続 / 複数PC / iOS, Android端末対応) WDBACG0020HCH-JESN

WD My Book Live 2.0TB (LAN接続 / 複数PC / iOS, Android端末対応) WDBACG0020HCH-JESN



この「MyBookLive」、外部からリモートアクセスする場合の「セキュリティ」はどうなっているのか?
というのをメモ。
最近買って、使い始めたので。


参考になった記事はコチラ。
WD My Cloud 2TB review - Bring the cloud into your home - Review - Macworld UK


To enable network discovery beyond your local network, the My Cloud should open ports on your router through UPnP

ローカルネットワーク以外、つまりリモートアクセスでMyCloudを使うには、UPnPでルーターのポートを都合する。

To facilitate connections through firewalls and closed ports, the My Cloud tries to use WDs servers in the USA for a form of dynamic DNS.

ファイヤウォールと閉じられたポートを越えて接続を確立するために、MyCloudはアメリカにあるWD社のサーバーにDNS問い合わせを行う。



「MyCloud」は、MyBookLiveをリモートで使用するためのソフトウェアすね。
Win/Mac/iPhone/Android用があり、リモートアクセスをするのにこれをインストールする。


通常、家庭内にあるルーターは外部からの変な通信は、ファイヤーウォールで弾いている。
また、そもそも通信の出入口たるポートも、不要なものは閉じられている。


じゃあ、「MyBookLive」に外部からアクセスするにはどうするんだ、と。
俺も弾かれちゃうじゃん!(持ち主なのに)、みたいな。


そこで「MyCloud」では、UPnPを通してルーターを越え(ポートを用意してもらい)、MyBookLiveと認証がとれたら、NASとしてリモートアクセスできるようになる、と。
認証というのは、マックアドレスでのデバイス登録済みかどうか、ってのと、ID/PASSですね。
UPnPというプロトコルの詳細については後述。


ルーターを越えられるのは分かった。
でも、そもそも自分の家にあるルーター(と、その配下の「MyBookLive」)のIPアドレスはどうなってんの?
スタティックなIPじゃないし、DynamicDNSもやってないし、外部からどうやってIPアドレスを知ることができるワケ?
というところで、WD社がDNSを引き受けて、ルーターのグローバルIPを教えてくれるところまでは、やってくれるらしい。
(WD社にMyBookLiveを登録しており、アカウント情報と紐付いているので、管理ツールを使う際にこれが使われるのかと)


For the security-minded, we note that while WD insists your data itself is not going via its servers, the networking handshake protocols will.

セキュリティが気になる人に。
「WD社のサーバにアクセスする」と言っても、WD社のサーバがデータを中継する(盗み見する)ワケではなく、単純に通信のハンドシェイク(接続の確立)のみ行う。


接続の確立後はpeer-to-peer、そのデバイスとMyBookLiveが直接通信することになる。
そのため、↑で言っているように通信をWD社が中継するワケではないってコトですね。
ただしUPnP非対応のルーターだったりすると、これができないので「通信をリレーする」らしい。
リレーする、の意味はよく分からん。


ちょっと重複するが、以下の記事も参考になった。
Western Digital My Cloud Review: WD’s ‘personal cloud’ device looks neat, if not as fluffy as you’d expect - Servers & Storage - Network Attached Storage - PC World New Zealand

WD provides the routing between the My Cloud device in your home, and your PC or mobile device wherever in the world that might be.
This means you don’t need a static IP address, or to use a Dynamic DNS service.

WD社はMyCloudと自宅の間のルーティングを受け持ってくれる。
つまり、ユーザーはスタティックなIPやDynamicDNSサービスを使う必要がない。

A peer-to-peer connection is established between your My Cloud and the device you’re accessing it from, though – Western Digital does not have access to the data you’re transmitting, and that data does not flow through WD’s servers.

ピアツーピアの通信でデータを送受信することになる。
WD社はデータをみたりしないし、WD社のサーバを中継することもない。



UPnPの脆弱性について

UPnPに関する一般的な説明はコチラ。
Universal Plug and Play - Wikipedia


脆弱性に関する話はコチラ。
「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた


で、まぁいろいろあるワケですが、自分のルーターにUPnPの脆弱性があるかは、以下でチェックできる。
UPnPの脆弱性が自分のルーターにあるかどうかがクリックするだけでわかる「Checkmyrouter」 - GIGAZINE



Sambaの脆弱性について

MybookLiveですが、linuxベースでSambaを使ってます。
Sambaの一般的な話はこちら。
Samba - Wikipedia


MyBookLiveが使ってるモジュール等は以下にある。
Page Not Found | WD Support


で、そのSambaについて。
2012/4に見つかった脆弱性の話。
Sambaが極めて深刻な脆弱性に対処、直ちにパッチ適用を - ITmedia ニュース


802.11セキュリティ - 徒然なるままに・・・

WD(Western Digital)のMy Book Liveシリーズでは、
samba 3.0.23cを使用しているようですので、今回の
脆弱性の対象です


2014/1現在でもsamba 3.0.23cなんですが。。。
詳しく見てないけど、どうなんだろうな。



個人的な所感

自分の場合、自宅のWin/Macからのファイル共有がワイヤレスで出来れば良くて、ローカルネットワークのみの利用にしてます。
※リモートアクセス機能をOFFにしている


じゃあ、リモートでの利用はNGか?っていうと、そうでもなく。
「MyBookLive」は使い勝手の面でも、セキュリティの面でも非常に良く出来ていて、難しい設定を意識することなくセットアップできる。
買ったらすぐに使える感じ。


セキュリティに関しても、英語/日本語のレビューをさらったけど、だいたい「セキュリティは問題ない。よく出来ている」というレビュー一辺倒でした。個人的にも多少は調べたくて、調べましたが。
なので、リモートでの利用も全然いいよね、と。
理由は以下。
・アクセスするにはMACアドレスの登録が必要
・その上で、ID/PASS管理もある
・MyCloudアクセスをWD社が中継してくれて安心
・ユーザー管理や、フォルダごとのアクセス権限が可能