ランサムウェア攻撃被害が中小企業で増加、完全復旧できない企業が7割　「サイバーリカバリー」のポイントとは：頼みのバックアップデータも暗号化

警察庁の調査によると、ランサムウェア被害の報告件数が中小企業を中心に増加傾向にある。攻撃を完全に防げない今、求められるのはシステムやデータを復旧するプロセスを迅速化する「サイバーリカバリー」の取り組みだ。

» 2025年08月14日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　2024年2月、国際捜査により、ランサムウェアグループ「Lockbit」が検挙され、サイバー犯罪対策の成果として報じられたことは記憶に新しい。だが、これによりランサムウェア攻撃の被害が沈静化したわけではない。新たなグループの台頭、手口の巧妙化や攻撃対象のシフトにより、依然として多くの企業が脅威に晒され続けている。

　警察庁が公開している調査「令和６年におけるサイバー空間をめぐる脅威の情勢等について」（2025年3月）によると、2024年に警察庁に報告されたランサムウェア被害の件数は222件。高水準で推移していることが分かる（2021年：146件　2022年：230件　2023年：197件）。

　組織規模別にランサムウェア被害件数を比較すると、大企業の被害件数が減少した一方、中小企業の被害件数は37％増加した。これは、大企業がサイバー攻撃を経営リスクとして捉え、セキュリティ対策を強化する一方で、リソースが限られる中小企業は、攻撃が成功しやすい標的となりつつある現状を示している。

政府広報オンライン「中小企業で被害多数　ランサムウェア」より

　ランサムウェア攻撃によりデータの復旧が困難となれば、事業継続だけでなく、企業や組織としての存続すら危ぶまれる事態となる。そこで求められているのが、攻撃を完全に防ぐことは不可能であるという前提に立ち、被害を最小限に抑え、システムやデータの迅速な復旧を目指すという「サイバーリカバリー」の取り組みだ。

　だが、多くの企業は、サイバーリカバリーの取り組みに課題を抱えている。アイ・ティ・アール（ITR）の調査（「企業のサイバーリカバリ実態調査」〈有効回答数315、2025年3月実施〉）によると、ランサムウェア被害の復旧状況は年々悪化しており、2024年以降に被害に遭った企業の70％が、システムの完全復旧ができていなかった。復旧までの所要時間も長期化しており、2023年以前は6日以内に復旧できた企業が48％と半数近かったのに対し、2024年以降は70％が復旧に1週間以上を要していた。1カ月以上かかった企業も12％に上ったという。

ランサムウェア感染からのシステム復旧状況　2023年以前と2024年以降で完全復旧できた企業の割合が減少した（提供：ITR）

　この復旧の困難さの背景にあるとみられるのが、バックアップデータそのものが暗号化されてしまうケースの増加だ。

最後の要、頼みのバックアップデータも暗号化　避けるためのポイントは

　同調査によると、2024年以降にランサムウェア被害に遭った企業の約半数（47％）が、バックアップデータまで暗号化されていたという。

　復旧までの過程で企業が直面した問題は、「被害の範囲や影響の把握に想定以上の時間を要した」が最も多かった。そして復旧に1週間以上を要した企業は、復旧が6日未満だった企業と比べてバックアップに関する問題を強く認識しており、「バックアップデータが暗号化または破損された」（52％）、「どのバックアップデータが安全か分からなかった」（41％）だった。

ランサムウェア感染からシステムの復旧までに生じた問題　1週間以上を要した企業ほど、バックアップデータによる復旧プロセスに課題を抱えていた（提供：ITR）

　ITRはこれらの調査結果を踏まえ「従来のバックアップ手法では、ランサムウェアによる侵害を防ぐことが難しくなっている」とし、バックアップデータが侵害されるというリスクを考慮した以下のような手法の導入を推奨している。

保存されたデータを変更不可能な状態で保持する「イミュータブルバックアップ」
ネットワークから物理的または論理的に切り離された環境にバックアップデータを保管する「エアギャップバックアップ」

　ITRのシニア・アナリストである入谷光浩氏は、「最後の要となるデータを暗号化や破損から守るバックアップの仕組みの構築が重要だ。攻撃によりシステム侵害を受けた際には、迅速にデータの感染状況と影響範囲を把握し、安全なバックアップデータを使用してシステムを復旧する仕組みを構築することで、高いレジリエンス（回復力）を備えたサイバーリカバリーの実現が可能になる」と述べている。

　ランサムウェア被害を見据えたバックアップデータの保護手法、手段の実装が遅れる背景には、人材、予算不足の他、対策に対する経営理解の問題もある。万一の際の遺失利益の算出など、ビジネス影響を数値化、言語化して説明するといったIT担当者の努力だけではなく、グループ会社、ベンダーなど周囲のステークホルダーがIT担当者を支援するアプローチも求められる。

VPNから侵入したランサムウェア攻撃、内部不正による情報漏えいなど、皆がよく知るインシデントについて大阪大学猪俣教授が語り続ける意味
2025年5月28日、ITmedia Security Week 2025 春で、大阪大学 D3センター教授 CISOの猪俣敦夫氏が基調講演に登壇。「セキュリティインシデントを他人事にしてはならない―実際の事例から見えたこと―」と題して講演した。
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。
大阪急性期・総合医療センターのランサムウェア被害、当事者が語る復旧の道のりと教訓
ランサムウェア被害を起こさないためには、どのような取り組みが重要なのか。ランサムウェア被害を受けたとき、いち早く復旧するためのポイントとは何か。2023年6月に開催されたInterop Tokyo Conference 2023で、大阪急性期・総合医療センターのランサムウェア感染対応に当たった2人が講演した。