警察庁が公表した調査結果によると、バックアップを取っていた全組織が実際にデータを復元できたわけではないことが分かった。本稿では、復旧に失敗する組織に共通する3つの運用上の問題とその対策を解説する。
「バックアップは毎日取っているから大丈夫」「何かあってもバックアップから戻せるはず」――。そう考えていたにもかかわらず、ランサムウェア(身代金要求型マルウェア)被害から復旧できない企業は少なくない。
警察庁の調査によると、バックアップを取得していた組織の中でも、実際にバックアップから復元できた組織は3割に満たなかった。なぜこうした事態が起きるのか。
本稿では、ランサムウェア被害から復旧できない組織に共通する3つのミスを整理した上で、その背景と対策を解説する。
「バックアップがあるから安心」という認識がいかに危険であるか、その実態が警察庁のデータから明らかになっている。
警察庁が2025年3月に公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(以下、警察庁レポート)によると、令和6年(2024年)に国内で発生したランサムウェア被害の報告件数は222件だった。
特に注目すべきは復旧状況の内訳である。調査に回答した被害組織のうち、バックアップを取得していた110組織の中で実際にバックアップからデータを復元できたのは29組織にとどまった。また、復旧に1カ月以上要した組織は49%に上り、復旧コストが1000万円を超えた組織は50%だった。
つまり、「バックアップがあること」と「バックアップから復元できること」は完全に別の話なのである。
では、なぜバックアップを取得していたにもかかわらず、多くの組織が復旧に失敗するのだろうか。被害事例やバックアップ運用を見ていくと、そこには共通する3つのミスが見られる。
最も多いのが、「バックアップがネットワーク的に隔離されていない」ケースだ。
本番サーバと共通のネットワークセグメントにバックアップサーバを配置している場合、侵入した攻撃者は両方にアクセスできる。クラウドストレージをバックアップ先として利用している場合も同様で、ネットワークから到達可能である以上、攻撃対象になり得る。結果として、本番データとバックアップデータが同時に暗号化され、「バックアップは存在するが復元に使えない」という状況に陥る。
バックアップが安全に保管されていても、それだけで復元性が保証されるわけではない。
問題になるのは、実際に復元できるかどうかを確認していないケースだ。システム復元の手順を検証したことがなければ、有事の際に初めて「手順書がない」「どれくらいの時間で復旧できるか分からない」といった問題に直面する。アクセス権限の設定ミスやデータ破損なども、テストをしなければ発見できないため、有事の際に初めて復元できないことが判明する。
仮にバックアップが暗号化を免れて残っていたとしても、どの時点のデータを復元すべきか判断できなければ意味がない。
攻撃者は暗号化を実行する前に、長期間潜伏していることがある。そのため、バックアップを何世代分保持しているか、その世代が感染前の状態かどうかを確認する手順が整備されていなければ、安全な時点を特定できない。最悪の場合、すでにウイルスが感染・潜伏した後の過去データを復元してしまい、システム起動と同時に再び被害が発生する(再感染する)リスクもある。
これらのミスが発生する背景には、現在のランサムウェア攻撃の手法が大きく変化していることがある。
現在のランサムウェアの主流は、不特定多数を狙うばらまき型から、VPN(仮想プライベートネットワーク)機器などの脆弱性を悪用して内部へ侵入する「侵入型」へと変化している。
攻撃者は侵入後すぐに暗号化するのではなく、ネットワーク内で数日から数週間潜伏しながら権限昇格や内部偵察を進める。警察庁レポートでも、週末を利用して暗号化を実行する事例が紹介されている。
攻撃者は侵入後の早い段階でバックアップ環境を探索する。復元手段を先に潰しておけば、企業に身代金を支払わせやすくなるからだ。つまり、現在のランサムウェアは単に「データを暗号化する」だけでなく、「復元手段を無力化すること」を明確な目的として動いている。
3つのミスに共通する背景として、バックアップ運用が組織の中で後回しになりやすい構造がある。
バックアップは正常に動いていても目に見えない。復元テストに成功しても、システム障害の復旧のように派手な成果として可視化されることは少ない。そのため、予算や工数の優先順位が下がりやすい。
「分かっているけれどできない」という状況は、担当者個人の怠慢ではなく、組織の評価構造や優先順位の問題である。その結果、「バックアップは取得している」という事実だけの安心感に甘んじ、復元性の検証は先送りされ続ける。
では、これらの失敗を防ぐために、情シスは何を基準に復元性を設計すればよいのだろうか。最低限押さえるべきポイントは3つに整理できる。
まず見直したいのがバックアップの保管方法だ。ランサムウェア対策では、「どこに保存するか」が「取得しているかどうか」と同じくらい重要になる。
基本となるのは、データのコピーを3つ作り、2種類のメディアに保存し、そのうち1つをオフサイト(遠隔地)に保管する「3-2-1ルール」だ。ランサムウェア対策の観点では、ここからさらに「ネットワークから到達できない場所に隔離すること」が必要になる。
ただし、物理的なオフライン保管(テープ等)は、メディアの入れ替えの手間や物理的な盗難リスクがある。そのため近年は、オンラインの手軽さを維持しつつ、ランサムウェアによる削除や上書きをシステム的に拒否する「イミュータブル(変更不可設定)ストレージ」を組み合わせた多層防御を採用する企業が増えている。「隔離されているか」だけでなく、「データそのものが変更できない状態になっているか」という観点が不可欠である。
バックアップが復元できるかどうかは、実際に試してみるまで分からない。復元テストの目的は、単にデータがそろっているかを確認することではなく、実際のシステム環境において「どれくらいの時間で、どの手順によって復旧できるか」の現実的な数字を把握することにある。
アクセス権限の競合やデータ整合性の有無、実際の復旧にかかる時間などは、テストを通じて初めて明らかになる。年に一度でも、実運用に近い形で検証しておくことが望ましい。
有事の混乱の中で迅速に復旧するためには、「誰が」「何を」「どの順番で」作業するのかを事前に決めたマニュアルが不可欠だ。
特にランサムウェア対応において重要なのは、ミスの3で挙げた潜伏期間を考慮し、どの世代(いつの時点)のバックアップまでさかのぼって復元すべきかの判断基準を、この手順書に明記しておくことである。ただ手順を追うだけでなく、「安全な世代を特定するフロー」をあらかじめ定義しておくことで、再感染の二次被害を防ぐことができる。
警察庁レポートでも、BCP(事業継続計画)を策定し、サイバー攻撃を想定した具体的な計画・手順を準備していた組織は、1週間未満で復旧した割合が高かったことが示されている。手順の文書化は、極限状態でも適切な判断を再現するための実践的な投資と言える。
多くの組織は「バックアップの運用(取り方)」を設計していても、「復元性(戻し方)」そのものは設計できていない。ネットワークからの隔離・定期的な検証・そして世代選定を含めた手順化がそろっていなければ、いくらデータが存在していても事業を救うことは難しい。
情シスは、自組織が被害に遭ったときに「本当に戻せるか」に答えられる準備ができているだろうか。最初の一歩として、今日から「バックアップの有無」ではなく、「実際に戻せるか」の確認へ舵を切るべきである。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
