Synology NASのランサムウェア対策｜設定・手順を徹底解説

NASを狙ったランサムウェア攻撃は年々増加しており、Synology製品も例外ではありません。自宅の大切な写真や動画、会社の業務データが一夜にして暗号化されるリスクがあります。今すぐ設定を見直しましょう。

Synology NASがランサムウェアに狙われる理由

NAS（Network Attached Storage）は、ネットワークに常時接続された大容量ストレージです。この「常時接続」という特性が、攻撃者にとって格好の標的となっています。

特にセキュリティ設定が初期状態のまま運用されているケースが多く、デフォルトの管理者アカウント（admin）が有効なままになっている環境は特に危険です。

Synology NASは世界的なシェアを持つがゆえに、DeadBoltやeCh0raixといったランサムウェアによる大規模攻撃の標的となった実績があります。「自分は大丈夫」という油断が、最大のリスクといえます。

感染前に必ずやるべき5つの予防設定

以下の5つの設定は、Synology NASに対するランサムウェア対策の基本です。すべて無料で実施でき、DSMの管理画面から設定可能です。

1. DSMを常に最新バージョンに保つ

DSMのアップデートには既知の脆弱性に対するパッチが含まれています。

手順：

「コントロールパネル」 → 「更新と復元」 → 「DSM更新」 → 「更新設定」 → 「重大なセキュリティの問題およびバグを修復した重大なアップデートを自動的にインストール」を選択 → 「OK」

2. デフォルトadminを無効化して2要素認証を設定する

adminというユーザー名は攻撃者がまず試みるアカウントです。別の管理者アカウントを作成してから、デフォルトのadminを無効化してください。

設定場所：

「コントロールパネル」 → 「ユーザー」または「ユーザーとグループ」 → 「ユーザー」で設定

さらに、すべての管理者アカウントに2要素認証（2FA）を設定することで、パスワードが漏洩しても不正ログインを防げます。

設定場所：

「コントロールパネル」 → 「セキュリティ」 → 「アカウント」 → 「2要素認証」セクション

3. ファイアウォールで不審なアクセスをブロックする

DSM内蔵のファイアウォールを有効にし、アクセスを許可するIPアドレスや地域を絞り込みましょう。

日本国内からのみアクセスする場合は、海外IPからの接続を一括拒否するだけで攻撃リスクを大幅に低減できます。また、ログイン失敗が一定回数続いたIPを自動ブロックする「自動ブロック」機能も必ず有効にしてください。

手順：

「コントロールパネル」 → 「セキュリティ」 → 「ファイアウォール」→ 「ファイルウォールを有効にする」にチェックを入れ → 「保護」 → 「自動ブロックを有効にする」 → 「適用」

4. 外部公開ポートを最小化する（QuickConnect / VPN）

NASを外部から直接アクセスできる状態にしている場合、攻撃の入口が広がります。

QuickConnect（Synology提供のリレー接続）を利用すれば、ルーターでポート開放をしなくても安全にリモートアクセスが可能です。

設定場所：

「コントロールパネル」 → 「外部アクセス」 → 「QuickConnectを有効にする」

さらに高いセキュリティが必要な場合は、VPN Server パッケージでVPN接続に限定することを推奨します。HTTPポート（5000）やHTTPSポート（5001）の直接公開は避けてください。

バックアップ設定｜感染しても復旧できる体制を作る

予防設定だけでは100%の防御は不可能です。ランサムウェア対策において、バックアップは「保険」です。感染が発覚した瞬間にデータを取り戻せる体制を事前に整えておくことが不可欠です。

方法1. Hyper Backupで自動バックアップを設定する

Synologyの純正バックアップツール「Hyper Backup」を使えば、外付けHDD・別のNAS・クラウドストレージ（Amazon S3、Synology C2など）へのバックアップを自動化できます。

バックアップ先はNAS本体とは物理的に別の場所に置くことが大切です。同一ネットワーク内のバックアップ先も、ランサムウェアによって同時に暗号化される可能性があります。

方法2. スナップショットを有効にする

スナップショット機能を使うと、共有フォルダの状態を特定の時点に「巻き戻す」ことができます。ランサムウェアに感染してファイルが暗号化されても、感染前のスナップショットからデータを復元可能です。

特に重要なのはイミュータブルスナップショットの設定です。通常のスナップショットはランサムウェアによって削除・上書きされる可能性がありますが、不変スナップショットは設定した保持期間中は削除できないため、感染後でも確実にデータを守れます。

手順：

「Snapshot Replication」 → 保護する共有フォルダを選択 → 「スナップショット」 → 「スナップショットの作成」 → 「イミュータブルスナップショットを有効化」にチェックを入れ → 「OK」

方法3. AOMEI Backupperで外付けHDDへバックアップする

WindowsパソコンからNASのデータを管理している場合、AOMEI Backupper Professioalを使ったバックアップ運用も有効な選択肢です。

このソフトウェアをPCにインストールすると、ネットワーク経由でNAS上の重要ファイルを外付けHDDなどのローカルデバイスへ自動バックアップできます。

特筆すべきは、ランサムウェア保護機能とバックアップデータの暗号化機能を備えている点です。バックアップデータ自体をランサムウェアによる改ざん・暗号化から守りつつ、万が一の漏洩リスクにも対応できます。

AOMEI Backupper

高性能ランサムウェア対策付きバックアップソフト

• 万全のデータ保護：システム・ディスク・パーティション・ファイルをバックアップし、システム障害やハードウェア故障、誤削除によるデータ損失を防ぎます。
• バックアップの改ざん防止：攻撃時でもバックアップファイルがロック・暗号化・削除されないよう保護し、バックアップデータの安全性を確保します。
• バックアップの暗号化：パスワードでバックアップイメージを保護し、不正アクセスや情報漏えいを防止します。
• スマート＆自動バックアップ：日次・週次・月次・イベントトリガー・USB接続時など、柔軟にスケジュール設定が可能。増分／差分バックアップで時間とストレージを節約できます。
• 迅速なシステム復旧：PCを正常な状態へ素早く復元できるため、システム停止時間を最小限に抑えられます。

無料ダウンロード Windows 11/10/8.1/8/7

100%安全

バックアップ手順：

AOMEI Backupper Professionalを起動 → 「バックアップ」 → バックアップ方式を選択 → バックアップ種類を選択 → 保存先を指定 → 「オプション」（バックアップの暗号化はここ）「バックアップスキーム」「スケジュール」でバックアップをカスタマイズ → 「開始」

ランサムウェア保護の有効化手順：

「ツール」 → 「ランサムウェア保護」 → 「ランサムウェア対策を有効にする」 → ニーズに応じて保護対象を設定（デフォルトでバックアップデータが保護対象に含まれています） → 「はい」

まとめ

Synology NASをランサムウェアから守るには、「侵入を防ぐ」と「データを守る」という2つの軸で対策を講じることが重要です。

DSMの更新・2要素認証・ファイアウォール設定でリスクを最小化しつつ、Hyper Backup・スナップショット・AOMEI Backupper Professionalを組み合わせたバックアップ体制を整えておくことで、万が一の感染時にも素早い復旧が可能になります。

まだ設定が済んでいない項目がある方は、ぜひ今日から一つずつ実践してみてください。