Synology NASは常時ネットワークに接続されているため、ランサムウェアの格好の標的となっています。本記事では、DSMの設定強化・ファイアウォール・2要素認証といった侵入防止策から、Hyper BackupやAOMEI Backupperを使ったバックアップ体制の構築まで、個人から中小企業まですぐに実践できる対策を解説します。
NASを狙ったランサムウェア攻撃は年々増加しており、Synology製品も例外ではありません。自宅の大切な写真や動画、会社の業務データが一夜にして暗号化されるリスクがあります。今すぐ設定を見直しましょう。
NAS(Network Attached Storage)は、ネットワークに常時接続された大容量ストレージです。この「常時接続」という特性が、攻撃者にとって格好の標的となっています。
特にセキュリティ設定が初期状態のまま運用されているケースが多く、デフォルトの管理者アカウント(admin)が有効なままになっている環境は特に危険です。
Synology NASは世界的なシェアを持つがゆえに、DeadBoltやeCh0raixといったランサムウェアによる大規模攻撃の標的となった実績があります。「自分は大丈夫」という油断が、最大のリスクといえます。
以下の5つの設定は、Synology NASに対するランサムウェア対策の基本です。すべて無料で実施でき、DSMの管理画面から設定可能です。
DSMのアップデートには既知の脆弱性に対するパッチが含まれています。
手順:
「コントロールパネル」 → 「更新と復元」 → 「DSM更新」 → 「更新設定」 → 「重大なセキュリティの問題およびバグを修復した重大なアップデートを自動的にインストール」を選択 → 「OK」
adminというユーザー名は攻撃者がまず試みるアカウントです。別の管理者アカウントを作成してから、デフォルトのadminを無効化してください。
設定場所:
「コントロールパネル」 → 「ユーザー」または「ユーザーとグループ」 → 「ユーザー」で設定
さらに、すべての管理者アカウントに2要素認証(2FA)を設定することで、パスワードが漏洩しても不正ログインを防げます。
設定場所:
「コントロールパネル」 → 「セキュリティ」 → 「アカウント」 → 「2要素認証」セクション
DSM内蔵のファイアウォールを有効にし、アクセスを許可するIPアドレスや地域を絞り込みましょう。
日本国内からのみアクセスする場合は、海外IPからの接続を一括拒否するだけで攻撃リスクを大幅に低減できます。また、ログイン失敗が一定回数続いたIPを自動ブロックする「自動ブロック」機能も必ず有効にしてください。
手順:
「コントロールパネル」 → 「セキュリティ」 → 「ファイアウォール」→ 「ファイルウォールを有効にする」にチェックを入れ → 「保護」 → 「自動ブロックを有効にする」 → 「適用」
NASを外部から直接アクセスできる状態にしている場合、攻撃の入口が広がります。
QuickConnect(Synology提供のリレー接続)を利用すれば、ルーターでポート開放をしなくても安全にリモートアクセスが可能です。
設定場所:
「コントロールパネル」 → 「外部アクセス」 → 「QuickConnectを有効にする」
さらに高いセキュリティが必要な場合は、VPN Server パッケージでVPN接続に限定することを推奨します。HTTPポート(5000)やHTTPSポート(5001)の直接公開は避けてください。
ユーザーアカウントには「最小権限の原則」を適用してください。各ユーザーが業務に必要な共有フォルダのみにアクセスできるよう制限することで、万が一1アカウントが侵害されても被害範囲を最小化できます。
予防設定だけでは100%の防御は不可能です。ランサムウェア対策において、バックアップは「保険」です。感染が発覚した瞬間にデータを取り戻せる体制を事前に整えておくことが不可欠です。
Synologyの純正バックアップツール「Hyper Backup」を使えば、外付けHDD・別のNAS・クラウドストレージ(Amazon S3、Synology C2など)へのバックアップを自動化できます。
バックアップ先はNAS本体とは物理的に別の場所に置くことが大切です。同一ネットワーク内のバックアップ先も、ランサムウェアによって同時に暗号化される可能性があります。
3-2-1ルール(データの3つのコピーを、2種類の異なるメディアに保存し、そのうち1つをオフサイトに置く)を意識してバックアップ先を選びましょう。
スナップショット機能を使うと、共有フォルダの状態を特定の時点に「巻き戻す」ことができます。ランサムウェアに感染してファイルが暗号化されても、感染前のスナップショットからデータを復元可能です。
特に重要なのはイミュータブルスナップショットの設定です。通常のスナップショットはランサムウェアによって削除・上書きされる可能性がありますが、不変スナップショットは設定した保持期間中は削除できないため、感染後でも確実にデータを守れます。
手順:
「Snapshot Replication」 → 保護する共有フォルダを選択 → 「スナップショット」 → 「スナップショットの作成」 → 「イミュータブルスナップショットを有効化」にチェックを入れ → 「OK」
WindowsパソコンからNASのデータを管理している場合、AOMEI Backupper Professioalを使ったバックアップ運用も有効な選択肢です。
このソフトウェアをPCにインストールすると、ネットワーク経由でNAS上の重要ファイルを外付けHDDなどのローカルデバイスへ自動バックアップできます。
特筆すべきは、ランサムウェア保護機能とバックアップデータの暗号化機能を備えている点です。バックアップデータ自体をランサムウェアによる改ざん・暗号化から守りつつ、万が一の漏洩リスクにも対応できます。
バックアップ手順:
AOMEI Backupper Professionalを起動 → 「バックアップ」 → バックアップ方式を選択 → バックアップ種類を選択 → 保存先を指定 → 「オプション」(バックアップの暗号化はここ)「バックアップスキーム」「スケジュール」でバックアップをカスタマイズ → 「開始」
ランサムウェア保護の有効化手順:
「ツール」 → 「ランサムウェア保護」 → 「ランサムウェア対策を有効にする」 → ニーズに応じて保護対象を設定(デフォルトでバックアップデータが保護対象に含まれています) → 「はい」
個人向けとビジネス向けのプランを提供しています。詳しくはバージョン比較ページをご確認ください。
Synology NASをランサムウェアから守るには、「侵入を防ぐ」と「データを守る」という2つの軸で対策を講じることが重要です。
DSMの更新・2要素認証・ファイアウォール設定でリスクを最小化しつつ、Hyper Backup・スナップショット・AOMEI Backupper Professionalを組み合わせたバックアップ体制を整えておくことで、万が一の感染時にも素早い復旧が可能になります。
まだ設定が済んでいない項目がある方は、ぜひ今日から一つずつ実践してみてください。