家庭用NASのランサムウェア対策|侵入防止・被害限定・復旧手順
NASはランサムウェアの標的であり、UGREEN NASも例外ではありません。 インターネットに接続され、PCとネットワークを共有している以上、攻撃のリスクはゼロにはなりません。
家庭用NASは、NAS本体にランサムウェアが侵入していなくても、感染したパソコンから書き込み可
能な共有フォルダーを暗号化されることがあります。
被害を防ぐために重要なのは、次の3点です。
- NASをインターネットへ直接公開しない
- 共有フォルダーの書き込み権限を必要最小限にする
- スナップショットとは別に、普段は切り離したバックアップを用意する
すでにファイル名や拡張子が変わっている場合は、復元を始める前に感染したパソコンをネットワークから切り離してください。 原因を取り除く前に復元すると、復元したファイルまで再び暗号化される可能性があります。

まず確認:症状から原因を切り分ける
| 症状 | 考えられる状態 | 最初にすること |
|---|---|---|
| パソコン内のファイルとNAS上の共有ファイルが同時に暗号化された | 感染したパソコンが、通常の書き込み権限を使ってNAS上のファイルを暗号化した | 感染したパソコンのLANケーブルとWi-Fiを切る |
| NASの管理者、設定、共有フォルダーが勝手に変更された | NASのアカウントまたはNAS本体が侵害された可能性がある | NASを外部ネットワークから隔離する |
| 現在のファイルは暗号化されているが、過去のスナップショットが残っている | NAS上のデータは変更されたが、復元可能な世代が残っている | 原因を除去してから、別の場所へ復元して確認する |
| スナップショットやバックアップ設定まで削除されている | 管理者権限を奪われた可能性がある | NASを隔離し、切り離して保管していたバックアップを確認する |
NASがランサムウェア被害を受ける3つの経路
1.感染したパソコンから共有ファイルが暗号化される
ユーザーのPCがフィッシングメールや悪意のあるWebサイト経由で感染し、そこからネットワーク内を探索してNASを発見します。SMB共有でNASのフォルダをマウントしていると、PC上のファイルと同様に、NAS上のファイルも暗号化されます。家庭で最も起きやすいのがこのパターンです。
2.NASへの直接攻撃
インターネットに公開されたNASに対して、既知の脆弱性を突く、または管理者アカウントにブルートフォース攻撃を仕掛けるパターンです。デフォルトのポート番号やユーザー名をそのまま使っていると、自動化された攻撃ツールに発見されやすくなります。
3.公開されたサービスや脆弱性から侵入される
NAS製品のOSやアプリケーションの脆弱性を悪用し、直接侵入してファイルを暗号化する攻撃が実在します。この種の攻撃は、公開された脆弱性を悪用するケースが多く、ファームウェアを最新に保つことが直接の防御になります。
第1層: 侵入を防ぐための設定
NASの管理画面やSMBを直接公開しない
外出先からNASを利用する場合でも、NASの管理画面やSMBのポートをそのままインターネットへ公開する必要はありません。
UGREEN NASでは、UGREENlinkやVPNを利用する方法があります。Tailscaleなどを利用すると、NASを直接公開せずに、許可した端末から接続できます。
具体的な設定方法は、NASのリモートアクセス設定ガイドで確認できます。
DDNSは、変化するIPアドレスへ名前を付けて接続しやすくする仕組みです。DDNSを設定しただけでは、通信の暗号化やアクセス制限は行われません。 DDNSとポート転送を利用する場合は、HTTPS、ファイアウォール、接続元制限などを別途設定する必要があります。
管理者と日常利用のアカウントを分ける
日常利用では一般ユーザーを使用し、管理作業が必要なときだけ管理者アカウントを使います。
管理者アカウントには、次の対策を設定してください。
- 長く使い回していないパスワード
- 二要素認証
- ログイン失敗時の自動ブロック
- 不要な外部アクセスの禁止
- 使用していないアカウントの無効化
詳しい設定は、NASアカウントの保護方法とUGREEN NASの二要素認証設定を参照してください。

NAS・アプリ・ルーターを更新する
- UGOS Pro
- NASに追加したアプリ
- ルーター
- パソコンとスマートフォン
- セキュリティソフト
これらをまとめて更新します。
UGREEN NASのシステムファームウェアやクライアントは、使用中のモデルに対応するUGREEN NASダウンロードセンターで確認できます。UGOS Proは通常、管理画面から更新し、オンライン更新ができない場合は同ページの手動更新用ファームウェアを利用してください。
使用していないファイル共有、リモート接続、アプリは停止してください。初期ポートの変更は自動スキャンを減らす補助策にはなりますが、更新、アクセス制限、二要素認証の代わりにはなりません。
第2層:被害を限定する
ランサムウェアへの対策では、侵入を完全に防ぐことだけでなく、侵入された場合の暗号化範囲を小さくすることも重要です。
共有フォルダーは、用途ごとに分けて権限を設定します。
- 日常的に更新するフォルダーだけ書き込みを許可する
- 完成した写真や文書の保管場所は読み取り専用にする
- 家族ごとにアクセスできるフォルダーを分ける
- バックアップ用フォルダーは専用アカウントだけに許可する
- バックアップ用アカウントを普段のネットワークドライブ接続に使用しない
- ゲストアクセスは必要な場合を除いて無効にする
たとえば、写真の整理中フォルダーには書き込みを許可し、整理済みの写真アーカイブは通常のアカウントから読み取り専用にします。
感染したパソコンから書き込み可能なフォルダーが限定されていれば、すべての共有データが同時に暗号化されるリスクを下げられます。
SMB共有を常時マウントしない
PCがランサムウェアに感染すると、マルウェアはローカルドライブだけでなく、マウントされたネットワークドライブも暗号化対象として検出します。 NASの共有フォルダを常時マウントしていると、PC上のファイルと一緒にNAS上のファイルも暗号化されます。
第3層:復旧できる状態を維持する
最悪の事態が起きても、元に戻せる状態を維持する層です。ここが機能していれば、身代金を払う必要はありません。
スナップショット:有効だが、万能ではない
スナップショットは、特定時点のファイルシステムの状態を記録する機能です。ファイルが暗号化されても、暗号化前の時点に戻せます。UGREEN NASでは、Btrfsファイルシステムのストレージスペースでスナップショットを利用できます。
復旧の初動が速く、フォルダ単位で巻き戻せるため、ランサムウェア対策として有効です。しかし、限界を正確に理解しておく必要があります。
管理者権限を奪われれば、スナップショットは削除されます。 スナップショットは管理画面から削除できる機能です。攻撃者が管理者アカウントを掌握した時点で、スナップショットは防御として機能しません。「スナップショットがあるから安心」は誤りです。
NAS本体の障害には対応できません。 スナップショットはNAS内部に保存されるため、NAS本体が物理的に故障したり、盗難・災害に遭ったりすれば、スナップショットごと失われます。
Btrfsが前提です。 別のファイルシステムでストレージスペースを作成している場合、後からスナップショットだけを追加することはできません。ストレージスペースの作り直しが必要になります。
つまり、スナップショットは第3層の最初の砦であって、最後の砦ではありません。
3-2-1バックアップ:NASの外に出す
スナップショットの限界を補うのが、NASの外に置くバックアップです。
3-2-1ルールは、データ保護の基本原則です。米国CISAのランサムウェア対策ガイドでも、オフラインで保護されたバックアップと、復元手順の確認が推奨されています。
- 3つのコピー: オリジナルを含めて、データを3箇所に保持する
- 2種類のメディア: 異なる種類の記録媒体を使う
- 1つはオフサイト: 物理的に離れた場所に1つは保管する

UGREEN NASでの実装例です。
| コピー | 保管場所 | 役割 | ランサムウェアへの耐性 |
|---|---|---|---|
| 1 | NAS本体 | オリジナル+スナップショット | 管理者権限を奪われると無力 |
| 2 | 外付けHDD | 物理的に別のメディア | バックアップ時以外は切断することで耐性を持つ |
| 3 | クラウドストレージ | オフサイト保管 | 災害対策も兼ねる |
外付けHDDは、常時接続しないでください。 バックアップ実行時だけNASに接続し、完了後は物理的に切り離す。常時接続していると、NASが侵害された際に外付けHDDも一緒に暗号化されます。物理的に切り離されたコピーだけが、確実にランサムウェアの手が届かない場所にあります。
世代管理:潜伏期間を想定する
バックアップの世代数は、ランサムウェアの潜伏期間を意識して決めます。
潜伏型ランサムウェアは、数週間から数ヶ月潜んでから暗号化を実行します。14日分しか保持していなければ、3週間潜伏した攻撃者の前では、すべての世代が感染後のデータになります。
最低でも14〜30世代の保持を推奨します。 日次バックアップなら2週間〜1ヶ月分に相当します。重要度の高いデータは、週次バックアップも組み合わせて8〜12週間分を保持すると、より確実です。
バックアップは「復元できること」を確認する
バックアップの完了表示だけでは、正常に復元できるか判断できません。
定期的に少量のデータを別の場所へ復元し、次の点を確認します。
- ファイルを開ける
- 写真や動画が途中で破損していない
- フォルダー構造が維持されている
- 必要な世代を選べる
- 復元に使用するアカウントと手順が分かる
本番の復旧時に初めて操作方法を調べる状態は避けてください。
ランサムウェア被害が疑われるときの復旧手順
1.感染が疑われるパソコンを切り離す
最初に、感染が疑われるパソコンのLANケーブルを抜き、Wi-Fiを無効にします。
外付けHDDなどのバックアップ媒体は、まだ接続しないでください。感染した端末へ接続すると、バックアップまで暗号化される可能性があります。
2.同期とバックアップ処理を停止する
暗号化されたファイルがクラウド、別のNAS、外付けHDDへ同期されるのを防ぎます。
安全な端末から管理できる場合は、NASやクラウドの同期処理、バックアップジョブを一時停止します。
3.NAS本体への侵入が疑われる場合は隔離する
次のような状態がある場合は、NAS本体または管理者アカウントが侵害された可能性があります。
- 見覚えのない管理者が追加されている
- パスワードや二要素認証が変更されている
- 共有フォルダーやスナップショットが削除されている
- 不明なアプリやタスクが追加されている
- NAS内部だけで暗号化処理が続いている
この場合はNASを外部ネットワークから隔離します。状況が分からないまま初期化や再インストールを行うと、ログや復旧に必要な情報を失う可能性があります。
4.被害状況を記録する
次の情報を記録します。
- 異常に気付いた日時
- 最初に異常が確認された端末
- 暗号化されたフォルダー
- 変更された拡張子
- 表示されたメッセージ
- NASのログイン履歴とシステムログ
- 追加または変更されたユーザーとアプリ
身代金要求のメッセージや暗号化されたファイルを、すぐに削除しないでください。
5.原因を取り除く
感染したパソコンは、セキュリティソフトでの確認だけで安全と判断せず、重要な被害の場合は初期化とOSの再セットアップも検討します。
安全な端末から、次の作業を行います。
- NAS、ルーター、パソコンを更新する
- 管理者と利用者のパスワードを変更する
- 使用中のセッションを無効化する
- 二要素認証を設定する
- 不要なポート転送とサービスを停止する
- 不審なユーザー、アプリ、タスクを確認する
NAS本体への侵入が疑われる場合は、復元前にUGREENのサポートまたはセキュリティの専門家へ相談してください。
6.別の場所へ復元して確認する
原因を取り除いた後、被害発生前のスナップショットまたは外部バックアップから復元します。
最初から現在のデータへ上書きせず、別の共有フォルダーやクローンへ復元してください。
復元したデータについて、次の点を確認します。
- ファイルを正常に開ける
- 暗号化されたファイルが混ざっていない
- 必要な更新内容が残っている
- 不審な実行ファイルやスクリプトがない
安全を確認してから、通常の共有フォルダーへ戻します。
7.端末を段階的に再接続する
すべての端末を一度に接続せず、更新と安全確認が終わった端末から順番に再接続します。
再接続後は、NASのログ、ファイルの変更、ログイン失敗をしばらく監視してください。
UGREEN NASで確認する項目
UGREEN NASを使用している場合は、次の項目を確認します。
- ストレージプールで使用しているファイルシステムを確認した
- 対応環境ではスナップショットを有効にした
- スナップショットが実際に作成されている
- 管理者と日常利用のアカウントを分けた
- 管理者アカウントに二要素認証を設定した
- 不要な外部アクセスとポート転送を停止した
- 外付けHDDまたは別の保存先へバックアップしている
- バックアップ媒体を普段は切り離している
- 少量のデータで復元テストを行った
- UGOS Proとアプリを更新している
よくある質問
NASの電源はすぐに切ったほうがよいですか?
まず、感染した端末またはNASをネットワークから隔離します。
突然電源を切ると、処理中のデータやログへ影響する可能性があります。NAS本体で暗号化が続いている、または管理者権限を奪われた疑いがある場合は、ネットワークを切り離したうえでメーカーや専門家へ相談してください。
外付けHDDを常時接続してもバックアップになりますか?
データのコピーにはなりますが、ランサムウェア対策としては不十分です。
常時接続され、パソコンやNASから書き込み可能な外付けHDDは、一緒に暗号化または削除される可能性があります。バックアップ後に取り外すか、複数の媒体を交代で使用します。
スナップショットは現在の共有フォルダーへ直接復元してもよいですか?
可能であれば、最初は別のフォルダーやクローンとして復元してください。
復元する世代が正しいことと、必要なファイルを開けることを確認してから、本来の保存場所へ戻すほうが安全です。
まとめ
家庭用NASのランサムウェア対策では、NAS本体への侵入だけでなく、感染したパソコンから共有ファイルを暗号化される経路も考える必要があります。
優先して行う対策は次の4つです。
- NASの管理画面やSMBをインターネットへ直接公開しない
- アカウントと共有フォルダーの書き込み権限を制限する
- スナップショットと、NASから切り離したバックアップを併用する
- 感染時は復元より先に端末を隔離し、原因を取り除く
RAIDやスナップショットだけでは、すべてのランサムウェア被害からデータを守れません。
「侵入されにくい設定」「暗号化範囲を限定する権限」「NASとは別に残すバックアップ」を組み合わせることが、復旧できるNAS環境につながります。
