ランサムウェア攻撃被害が中小企業で増加、完全復旧できない企業が7割　「サイバーリカバリー」のポイントとは：頼みのバックアップデータも暗号化

　2024年2月、国際捜査により、ランサムウェアグループ「Lockbit」が検挙され、サイバー犯罪対策の成果として報じられたことは記憶に新しい。だが、これによりランサムウェア攻撃の被害が沈静化したわけではない。新たなグループの台頭、手口の巧妙化や攻撃対象のシフトにより、依然として多くの企業が脅威に晒され続けている。

　警察庁が公開している調査「令和６年におけるサイバー空間をめぐる脅威の情勢等について」（2025年3月）によると、2024年に警察庁に報告されたランサムウェア被害の件数は222件。高水準で推移していることが分かる（2021年：146件　2022年：230件　2023年：197件）。

　組織規模別にランサムウェア被害件数を比較すると、大企業の被害件数が減少した一方、中小企業の被害件数は37％増加した。これは、大企業がサイバー攻撃を経営リスクとして捉え、セキュリティ対策を強化する一方で、リソースが限られる中小企業は、攻撃が成功しやすい標的となりつつある現状を示している。

政府広報オンライン「中小企業で被害多数　ランサムウェア」より

　ランサムウェア攻撃によりデータの復旧が困難となれば、事業継続だけでなく、企業や組織としての存続すら危ぶまれる事態となる。そこで求められているのが、攻撃を完全に防ぐことは不可能であるという前提に立ち、被害を最小限に抑え、システムやデータの迅速な復旧を目指すという「サイバーリカバリー」の取り組みだ。

　だが、多くの企業は、サイバーリカバリーの取り組みに課題を抱えている。アイ・ティ・アール（ITR）の調査（「企業のサイバーリカバリ実態調査」〈有効回答数315、2025年3月実施〉）によると、ランサムウェア被害の復旧状況は年々悪化しており、2024年以降に被害に遭った企業の70％が、システムの完全復旧ができていなかった。復旧までの所要時間も長期化しており、2023年以前は6日以内に復旧できた企業が48％と半数近かったのに対し、2024年以降は70％が復旧に1週間以上を要していた。1カ月以上かかった企業も12％に上ったという。

ランサムウェア感染からのシステム復旧状況　2023年以前と2024年以降で完全復旧できた企業の割合が減少した（提供：ITR）

　この復旧の困難さの背景にあるとみられるのが、バックアップデータそのものが暗号化されてしまうケースの増加だ。

最後の要、頼みのバックアップデータも暗号化　避けるためのポイントは

　同調査によると、2024年以降にランサムウェア被害に遭った企業の約半数（47％）が、バックアップデータまで暗号化されていたという。

　復旧までの過程で企業が直面した問題は、「被害の範囲や影響の把握に想定以上の時間を要した」が最も多かった。そして復旧に1週間以上を要した企業は、復旧が6日未満だった企業と比べてバックアップに関する問題を強く認識しており、「バックアップデータが暗号化または破損された」（52％）、「どのバックアップデータが安全か分からなかった」（41％）だった。

ランサムウェア感染からシステムの復旧までに生じた問題　1週間以上を要した企業ほど、バックアップデータによる復旧プロセスに課題を抱えていた（提供：ITR）

　ITRはこれらの調査結果を踏まえ「従来のバックアップ手法では、ランサムウェアによる侵害を防ぐことが難しくなっている」とし、バックアップデータが侵害されるというリスクを考慮した以下のような手法の導入を推奨している。

• 保存されたデータを変更不可能な状態で保持する「イミュータブルバックアップ」
• ネットワークから物理的または論理的に切り離された環境にバックアップデータを保管する「エアギャップバックアップ」

　ITRのシニア・アナリストである入谷光浩氏は、「最後の要となるデータを暗号化や破損から守るバックアップの仕組みの構築が重要だ。攻撃によりシステム侵害を受けた際には、迅速にデータの感染状況と影響範囲を把握し、安全なバックアップデータを使用してシステムを復旧する仕組みを構築することで、高いレジリエンス（回復力）を備えたサイバーリカバリーの実現が可能になる」と述べている。

　ランサムウェア被害を見据えたバックアップデータの保護手法、手段の実装が遅れる背景には、人材、予算不足の他、対策に対する経営理解の問題もある。万一の際の遺失利益の算出など、ビジネス影響を数値化、言語化して説明するといったIT担当者の努力だけではなく、グループ会社、ベンダーなど周囲のステークホルダーがIT担当者を支援するアプローチも求められる。