Home / 関連記事 /

家庭用NASを守るランサムウェア対策—侵入防止から復旧まで【2026】

家庭用NASを守るランサムウェア対策—侵入防止から復旧まで【2026】

04/02/2026

ランサムウェアは、ファイルを暗号化して身代金を要求するマルウェアです。かつては企業がターゲットの中心でしたが、状況は変わりましたそして家庭用NASも、視野に入りやすい対象です。

攻撃の手口も巧妙化しています。最近のランサムウェアは、侵入後すぐには暗号化を始めません。数週間から数ヶ月にわたって潜伏し、バックアップの周期やスナップショットの保持期間を把握した上で、復旧手段ごと暗号化するケースが増えています。「昨日のバックアップがあるから大丈夫」という考えは、もう通用しません。

対策は「感染しない」だけでは不十分です。「感染しても復旧できる」状態を維持することが同じくらい重要になります。

UGREEN NASには、リモートアクセス制御ファイアウォールアカウント保護スナップショットといった機能が揃っています。

感染経路

NASがランサムウェアに感染する経路は、大きく3つに分かれます。

PCからの横展開が最も一般的なパターンです。まずユーザーのPCがフィッシングメールや悪意のあるWebサイト経由でマルウェアに感染し、そこからネットワーク内を探索してNASを発見します。SMB共有でNASのフォルダをマウントしていると、PC上のファイルと同様にNAS上のファイルも暗号化されます。

直接攻撃は、NAS自体の脆弱性やログイン画面を狙うパターンです。インターネットに公開されたNASに対して、既知の脆弱性を突いたり、管理者アカウントにブルートフォース攻撃を仕掛けたりします。デフォルトのポート番号やユーザー名をそのまま使っていると、攻撃者にとって格好の標的になります。

NAS専用マルウェアは、特定メーカーのNASをターゲットにした攻撃です。QNAPを狙ったDeadboltASUSTORを狙ったランサムウェアなど、NASのOSやアプリケーションの脆弱性を悪用して直接侵入し、内部からファイルを暗号化します。

潜伏と暗号化

ランサムウェアは暗号化だけで終わりません。アクセスできるバックアップを探して削除や暗号化を狙う手口が多く、CISAも「オフラインで暗号化したバックアップを維持し、定期的に復旧テストを行う」ことを強調しています。

この前提に立つと、「昨日のバックアップがあるから安心」という設計は崩れます。復旧手段は、NAS内のスナップショットだけに寄せず、外付けHDDの切り離しやオフサイト保管を含めた「第3層」が必要になります。

NASにランサムウェア対策の三層防御を設定する方法

ランサムウェア対策に「これだけやれば完璧」という単一の解決策はありません。攻撃者は常に新しい手口を開発し、1つの防御を突破する方法を探しています。だからこそ、複数の防御層を重ねる「多層防御」の考え方が有効です。1つの層が破られても、次の層が被害を食い止めます。

UGREEN NASで構築できる多層防御は、3つの柱で成り立ちます。

第1層|侵入を防ぐ

多層防御の最初の層は、攻撃者をNASに到達させないことです。侵入を防げれば、その後の被害は発生しません。完璧な防御は不可能ですが、入口を狭めるだけで攻撃の大半を退けられます。

これまでの設定を活かす

UGREEN NASのセキュリティ機能を順に設定してきた方は、すでに第1層の基盤ができています。

  • リモートアクセスの適切な設定は、外部からの接続経路を制御します。UGREENlink、DDNS、Tailscaleのいずれを選んでも、不要なポートを開放せずに済む構成が可能です。リモートアクセスの設定方法は「UGREEN NASを外出先から使う方法」で詳しく説明しています。
  • ファイアウォールによるIP制限は、接続元を絞り込む手段です。許可したIPアドレスやサブネット以外からのアクセスを遮断し、攻撃者がNASに到達する経路を限定します。
  • アカウントブロックは、ブルートフォース攻撃への対策です。短時間に繰り返されるログイン失敗を検知し、該当するIPやアカウントを自動的にブロックします。「NASのアカウント保護」で設定手順を説明しています。
  • 2要素認証(2FA)は、パスワードが漏洩した場合の保険です。ログイン時に動的な認証コードを要求することで、パスワード単体での不正アクセスを防ぎます。 「 NASの二要素認証設定ガイド」で設定手順を説明しています。

この4つは「入口の本数を減らす」「入口の鍵を強くする」を同時に満たせます。ここから先は、家庭環境で抜けが出やすい確認に進みます。

ugreen 2fa

追加で確認すべきポイント

基本設定に加えて、以下の項目も確認してください。

  • デフォルトポートの変更は、自動化された攻撃ツールを回避する効果があります。SSH(22番)やWeb管理画面のポート番号をデフォルトから変更すると、ポートスキャンで発見されにくくなります。高度な攻撃者には通用しませんが、無差別な攻撃を減らす効果はあります。
  • 不要なサービスの無効化は、攻撃対象を減らす基本的な対策です。使っていないプロトコル(FTP、Telnetなど)は無効にしてください。特にSMBを外部ネットワークに公開している場合は、本当に必要かどうかを再検討してください。SMBはランサムウェアの横展開で最も狙われるプロトコルの1つです。
  • ファームウェアの自動更新は、既知の脆弱性を塞ぐために欠かせません。NAS専用マルウェアの多くは、公開された脆弱性を悪用します。自動更新を有効にするか、定期的に手動で確認する習慣をつけてください。

第2層|被害を限定する

第1層で入口を絞っても、家庭では「先にPCが感染して、そのPCがNAS上の共有フォルダまで暗号化する」流れが起きやすいです。

第2層の目的は、マルウェアがネットワークに入り込んだとしても、NAS全体が暗号化される事態を防ぐことです。被害範囲を狭め、復旧を容易にします。

SMB共有の考え方

SMB(Server Message Block)は、WindowsやmacOSからNASのフォルダにアクセスするための標準プロトコルです。便利な反面、ランサムウェアにとっても都合の良い経路になります。

PCがランサムウェアに感染すると、マルウェアはローカルドライブだけでなく、マウントされたネットワークドライブも暗号化対象として検出します。NASの共有フォルダを常時マウントしていると、PC上のファイルと一緒にNAS上のファイルも暗号化されてしまいます。運用を少し変えるだけで、被害の広がり方は変わります。

  • 必要なときだけ接続:普段は切っておき、作業のタイミングだけ共有にアクセス
  • 共有フォルダを役割で分ける:「保管庫(読み取り中心)」と「受け渡し(短期の書き込み)」を分離
  • 書き込み先を限定:書き込みが必要な人・端末だけに権限を付け、家族全員にフルアクセスを配らない

ユーザー権限の最小化

管理者で普段のファイル操作をすると、暗号化が走ったときに被害が広がりやすいです。日常用は一般ユーザーに寄せ、管理者は設定変更のときだけ使う運用が効きます。

  • 写真・動画のアーカイブ:家族は読み取り中心、書き込みは整理担当だけ
  • 作業用フォルダ:書き込みは作業する端末だけ、終わったら保管庫へ移す
  • バックアップ置き場:バックアップ用の専用ユーザーだけに書き込み許可(普段使いのユーザーには触らせない)

ここまでやると、仮に1台のPCが感染しても「家中のデータが一気に暗号化される」確率が下がります。加えて、UGOS Pro側のアカウント保護と組み合わせると、異常に早く気づきやすくなります。

第3層|復旧できる状態を維持する

第3層は、最悪の事態が起きても元に戻せる状態を維持することです。ランサムウェアにファイルを暗号化されても、バックアップから復元できれば身代金を払う必要はありません。

スナップショットの設定

スナップショットは、特定の時点でのファイルシステムの状態を記録する機能です。ファイルが暗号化されても、暗号化前のスナップショットから復元できます。

UGREEN NASでは、Btrfsファイルシステムを使用したボリュームでスナップショット機能を利用できます。

3-2-1バックアップの実践

スナップショットだけでは不十分です。NAS本体が物理的に故障したり、高度な攻撃でスナップショットごと暗号化されたりする可能性があります。

3-2-1バックアップルールは、データ保護の基本原則です。

  • 3つのコピー:オリジナルを含めて、データを3箇所に保持する
  • 2種類のメディア:異なる種類の記録媒体を使う(例:HDDとクラウド)
  • 1つはオフサイト:物理的に離れた場所に1つは保管する

UGREEN NASでの実装例を示します。

コピー 保管場所 役割
1 NAS本体 オリジナルデータ + スナップショット
2 外付けHDD 物理的に別のメディア、普段はNASから切断
3 クラウドストレージ オフサイト保管、災害対策にもなる

外付けHDDへのバックアップは、バックアップ実行時だけNASに接続し、完了後は切断する運用を推奨します。常時接続していると、NASが侵害された際に外付けHDDも暗号化されるリスクがあります。

クラウドストレージは、Amazon S3、Google Cloud Storage、Wasabiなどが選択肢になります。S3互換のObject Lock機能を持つサービスを使えば、クラウド側でもImmutable(不変)な状態でデータを保管できます。

世代管理の考え方

バックアップの世代数は、ランサムウェアの潜伏期間を意識して決めます。

潜伏型ランサムウェアは、数週間から数ヶ月間システムに潜み、バックアップの周期を把握してから暗号化を実行します。14日分のスナップショットを保持していても、攻撃者が3週間潜伏していれば、すべてのスナップショットが感染後のデータになります。

推奨は最低14〜30世代です。日次バックアップなら2週間〜1ヶ月分に相当します。重要度の高いデータは、週次バックアップも組み合わせて8〜12週間分を保持すると、より安全です。

UGREEN NASの現状と限界

ここまでUGREEN NASで構築できる多層防御を説明してきましたが、すべての機能が成熟しているわけではありません。

スナップショット機能は成熟途上

UGREEN NASのスナップショットは、仕組みとしてはとても良いです。フォルダ単位で巻き戻せて、復旧の初動が速い。
一方で、利用条件がはっきりしています。

  • Btrfsが前提:スナップショットはBtrfsファイルシステムでの利用が前提とされています。すでに別の形式でボリュームを作っている場合、後から「スナップショットだけ追加」は難しく、作り直しが絡みます。

標準バックアップアプリの機能

UGREEN NAS標準の「同期とバックアップ」アプリは、増分バックアップに対応しています。一方で、フルバックアップや差分バックアップ、スケジュールの柔軟な設定といった機能は現時点では限定的です。

現時点では、Windows標準のバックアップ機能を併用する運用が現実的です。

Windowsの「バックアップと復元」機能を使えば、フルバックアップとスケジュール設定が可能です。「ファイル履歴」機能を使えば、指定したフォルダの変更履歴を自動的にNASに保存できます。これらはUGREEN NASをネットワークドライブとして認識させれば、そのまま利用できます。

macOSユーザーは、Time MachineのバックアップをNASに保存することで同様の運用が可能です。

今後のアップデートに期待

UGREEN NASのOSであるUGOS Proは、継続的にアップデートが提供されています。スナップショット機能のファイル閲覧対応、Docker関連の機能強化など、ロードマップには複数の改善が予定されています。

現時点での限界を理解した上で、Windows/macOS標準機能や外付けHDD、クラウドストレージを組み合わせて多層防御を構築することが、UGREEN NASを安全に運用する現実的なアプローチです。

Quick Navigation
Related Reads
家族とNASの写真を共有する方法【2025年12月更新】
家族とNASの写真を共有する方法【2025年12月更新】
09/09/2025
初心者向けNAS入門|写真・動画の管理と安全な共有術 (2025年9月アップデート)
初心者向けNAS入門|写真・動画の管理と安全な共有術 (2025年9月アップデート)
28/04/2025