最近、Synology 所有者の一部が、NAS システムのすべてのファイルが暗号化されていることを発見しました。残念ながら、ランサムウェアがNASに感染し、データを回復するために支払いを要求しています。NASを保護する方法をご紹介します。

ランサムウェアの攻撃を回避する方法

Synology は、最近いくつかのランサムウェア攻撃が一部のユーザーを襲っているとして、NAS の所有者に警告を発しています。攻撃者は、ブルートフォース（総当り）方式でデフォルトのパスワードを推測し、一致するパスワードが得られるまで、可能な限りのパスワードを試行します。正しいパスワードを見つけ、ネットワーク接続されたストレージデバイスにアクセスすると、ハッカーはすべてのファイルを暗号化し、身代金を要求してきます。

このような攻撃を防ぐために、いくつかのオプションを選択することができます。リモートアクセスを完全に無効にし、ローカル接続のみを許可することができます。リモートアクセスが必要な場合、VPNを設定してNASへのアクセスを制限することができます。VPNがうまくいかない場合（ネットワークの速度が遅いなど）、リモートアクセスオプションを強化することができます。

オプション1：リモートアクセスを無効にする

最も安全な選択肢は、リモート接続機能を完全に無効にすることです。NASにリモートアクセスできないのであれば、ハッカーもできない。移動中の便利さは失われますが、自宅で映画を見るときだけNASを使うのであれば、リモート機能はまったく惜しくないかもしれません。

最新の Synology NAS ユニットには、QuickConnect 機能が搭載されています。 QuickConnect は、リモート機能を有効にするための面倒な作業を代行してくれます。この機能を有効にすると、ルーターのポートフォワーディングを設定する必要がありません。

クイックコネクトによるリモートアクセスを解除するには、NASインターフェイスにログインします。コントロールパネルを開き、サイドバーの「接続」にある「クイック接続」をクリックします。クイック接続を有効にする」のチェックをはずし、「適用」をクリックします。

ただし、リモートアクセスするためにルーターでポート転送を有効にしている場合は、このポート転送ルールを無効にする必要があります。ポートフォワーディングを無効にするには、ルーターのIPアドレスを調べ、それを使ってログインする必要があります。

その後、ルーターのマニュアルを参照し、ポート転送のページを探してください（ルーターの機種によって異なります）。ルーターのマニュアルがない場合は、インターネットでお使いのルーターの機種と「マニュアル」という単語で検索してみてください。マニュアルには、既存のポートフォワーディングルールを探す場所が記載されています。NASユニットのポートフォワーディングルールをすべてオフにします。

オプション2：vpnを利用したリモートアクセス

まとめNASをインターネットに公開しないことをお勧めします。ただし、どうしてもリモートで接続したい場合は、VPN（Virtual Private Network）を構築することをお勧めします。VPNサーバーをインストールすると、NASユニットに直接アクセスすることができなくなります。その代わり、ルーターに接続することになります。その結果、ルーターは、NASと同じネットワークにいる（例えば、まだ自宅にいる）かのように扱います。

Synology NAS の VPN サーバーは、パッケージセンターからダウンロードできます。vpn」で検索し、vpnサーバーの下にあるインストールオプションを選択するだけです。VPNサーバーを最初に開くと、PPTP、L2TP/IPSec、OpenVPNのプロトコルの選択肢が表示されます。3つのオプションの中で最も安全なOpenVPNをお勧めします。

OpenVPN のデフォルトのままでも良いのですが、VPN で接続中にネットワーク上の他の機器にアクセスしたい場合は、 "Allow clients to access server's LAN" にチェックを入れて "Apply" をクリックする必要があります。

そして、ルーターでOpenVPNが使用するポートにポートフォワーディングを設定する必要があります（デフォルトは1194）。

VPNにOpenVPNを使用している場合、アクセスするために互換性のあるVPNクライアントが必要です。Windows、macOS、iOS、Android、そしてLinuxで利用できるOpenVPN Connectの利用をお勧めします。

オプション3：可能な限り安全なリモートアクセス

リモートアクセスが必要で、VPNが有効な解決策でない場合（おそらくインターネットの速度が遅いため）、リモートアクセスを可能な限り保護する必要があります。

リモートアクセスを確保するには、NASにログインして、コントロールパネルを開き、ユーザーを選択する必要があります。デフォルトの管理者がオンになっている場合は、新しい管理者ユーザーアカウントを作成し（まだ持っていない場合）、デフォルトの管理者ユーザーをオフにしてください。デフォルトの管理者アカウントは、通常ランサムウェアに攻撃される最初のアカウントです。デフォルトでは、ゲストユーザーは通常オフになっており、特に必要な場合を除き、そのままにしておく必要があります。

NAS用に作成されたすべてのユーザーに複雑なパスワードが設定されていることを確認する必要があります。その際、パスワードマネージャーを利用することをお勧めします。NASを共有し、他の人がユーザーアカウントを作成できるようにしている場合は、強力なパスワードを強制するようにしてください。

パスワードの設定は、コントロールパネルの「ユーザープロファイル」の「詳細設定」タブで確認することができます。大文字と小文字を混在させる、数字を含める、特殊文字を含める、一般的なパスワードを除外するなどのオプションにチェックを入れておくとよいでしょう。より強固なパスワードにするためには、パスワードの長さを最低でも8文字以上にし、長ければ長いほど良いというわけではありません。

攻撃者ができるだけ多くのパスワードを素早く推測する辞書攻撃を防ぐには、自動ブロックを有効にします。このオプションは、短時間に一定数のパスワードを推測して失敗したIPアドレスを自動的にブロックするものです。新しい Synology ユニットでは、自動ブロックはデフォルトで有効になっており、コントロールパネル > セキュリティ > アカウントで見つけることができます。.デフォルトの設定では、5分間に10回ログインに失敗すると、IPアドレスは再ログインを試みないようになります。

最後に、アウトライン・ファイアウォールをオンにすることを検討してください。ファイアウォールを有効にすると、ファイアウォールで許可したサービスだけがインターネッツからアクセスできるようになります。ファイアウォールをオンにした場合、特定のアプリケーション（Plexなど）の例外を設定し、VPNを使用している場合はポート転送ルールを追加する必要があることに留意してください。ファイアウォールの設定は、「コントロールパネル」→「セキュリティファイアウォール」で確認できます。

データの損失やランサムウェアの暗号化は、たとえ予防策を講じたとしても、NASユニットでは常に起こりうることです。NASは究極的にはバックアップシステムではなく、できる最善のことは、データをオフサイトにバックアップすることです。そうすれば、最悪の事態（ランサムウェアであれ、マルチドライブの故障であれ）が発生しても、最小限の損失でデータを復旧させることができます。