ランサムウェアに感染！その時どうする？事業を止めないためのバックアップと復旧シナリオ完全ガイド

ランサムウェアの脅威は対岸の火事ではない

サイバー攻撃の中でも、企業の事業継続を根底から揺るがすランサムウェア。その猛威はとどまることを知らず、もはや「対岸の火事」どころか、いつ自社に火の粉が降りかかってもおかしくない喫緊の経営課題となっています。情報システム担当者の皆様におかれましては、日々高まる脅威に強い危機感を抱かれていることでしょう。

本記事では、ランサムウェアの脅威に直面するすべての情報システム担当者に向けて、万が一の事態に事業を止めないための「バックアップ」を核とした対策と、具体的な復旧シナリオを徹底的に解説します。

最新の被害事例から見るランサムウェアの深刻な影響

ランサムウェアの脅威は、もはや抽象的なリスクではありません。現実に、国内の多くの企業が甚大な被害に見舞われています。警察庁の発表によると、その被害は依然として高い水準で推移しており、決して他人事ではないことがデータからも明らかです。

警察庁の報告によると、令和6年上半期（1月～6月）に警察庁に報告されたランサムウェアによる被害件数は114件に上り、依然として高い水準で推移しています。

出典: 警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」

この数値は、あくまで警察に報告された氷山の一角に過ぎません。報告に至らないケースを含めれば、さらに多くの企業が被害に遭っていると推測されます。一度ランサムウェアに感染すれば、データの暗号化による事業停止はもちろんのこと、窃取された情報がダークウェブで公開される「二重恐喝（ダブルエクストーション）」によって、企業の社会的信用は失墜し、顧客や取引先からの信頼回復には計り知れない時間とコストを要することになります。

なぜ今、バックアップを起点とした「事業復旧シナリオ」が重要なのか？

ランサムウェア対策というと、ウイルス対策ソフトの導入やファイアウォールの強化といった「侵入を防ぐ」対策に目が行きがちです。もちろん、これらの入口対策は不可欠ですが、残念ながら攻撃者の手口は日々巧妙化しており、100%侵入を防ぎきることは極めて困難です。

そこで重要になるのが、「侵入されること」を前提とした、被害を最小限に食い止め、迅速に事業を復旧させるためのシナリオです。そのシナリオの生命線となるのが、言うまでもなく「バックアップ」です。

しかし、ただバックアップを取っているだけでは意味がありません。「いざという時に、本当に使えるバックアップ」が確保されていて、初めて事業復旧への道筋が見えてくるのです。本記事を読み進めることで、貴社のバックアップ戦略が本当にランサムウェアに打ち勝つ力を持っているのか、そして、万が一の際にどう行動すべきかの具体的な指針を得られるはずです。

【緊急対応マニュアル】ランサムウェア感染発覚！その時、情シスが取るべき初動対応

「ファイルが開けない」「身代金を要求する画面が表示された」――。ランサムウェアの感染が疑われる事態に直面した時、情報システム担当者の初動対応が、その後の被害拡大を食い止め、事業復旧までの時間を大きく左右します。

まずは落ち着いて、以下の5つのステップを確実かつ迅速に実行してください。

感染が疑われる端末を発見したら、真っ先にLANケーブルを抜き、Wi-Fiをオフにしてください。これにより、ランサムウェアがネットワーク内の他のサーバーやPC、さらには接続されているバックアップストレージへ感染を広げる「横展開（ラテラルムーブメント）」を防ぎます。これが最も重要かつ緊急性の高いステップです。

隔離した端末の状況を確認し、どのデータが暗号化されたのか、どのシステムに影響が及んでいる可能性があるのかを調査します。ファイルサーバーの共有フォルダ、基幹システム、顧客データベースなど、感染が疑われる範囲を冷静にリストアップし、影響の大きさを把握します。

被害の事実と、現時点で判明している影響範囲を、速やかに経営層および関連部門（法務、広報、人事など）へ報告します。「こんな悪い報告はしづらい」という気持ちは分かりますが、報告が遅れるほど対応も後手に回り、結果的に被害を拡大させます。事実を客観的かつ簡潔に伝えることが重要です。

自社内での対応に限界を感じる場合は、躊躇なく外部の専門家へ支援を要請しましょう。契約しているセキュリティベンダーや、サイバーインシデント対応を専門とするフォレンジック調査会社などが頼りになります。また、被害状況に応じて、管轄の警察や情報処理推進機構（IPA）といった公的機関への相談・届出も検討します。

原因究明や警察への被害届提出、保険請求などのために、インシデントの証拠を保全することが極めて重要です。感染端末の電源を落とさず（メモリ上の情報が消えるため）、そのままの状態で保管することが原則です。また、いつ、誰が、何を発見し、どのように対応したのか、時系列で正確に記録を残しておきましょう。

パニック状態に陥ると、良かれと思って取った行動が、かえって状況を悪化させることがあります。以下の3点は絶対に避けてください。

「すぐに復旧させなければ」と焦り、感染した可能性のある端末からバックアップサーバーへアクセスするのは最悪の選択です。バックアップデータまでランサムウェアに感染・暗号化されてしまえば、復旧の最後の望みすら絶たれてしまいます。バックアップへのアクセスは、安全が確認されたクリーンな環境からのみ行うのが鉄則です。

身代金を支払っても、データが復号される保証はどこにもありません。支払ったことで「この企業は金を払う」と攻撃者に認識され、再び標的にされるリスクさえ高まります。また、支払った金銭が反社会的勢力やテロ組織の資金源となる可能性も指摘されており、決して要求に応じてはいけません。

被害範囲の全体像が把握できないまま、目についた端末から手当たり次第に復旧作業を始めるのは非常に危険です。感染源が特定・除去できていない状態でシステムを再稼働させれば、再度ランサムウェアに感染する「再感染」のリスクが極めて高くなります。まずは全体を俯瞰し、計画を立ててから復旧に着手することが不可欠です。

事業継続の生命線！ランサムウェアに打ち勝つバックアップ戦略の要点

ランサムウェア攻撃から事業を守る上で、バックアップが最後の砦であることは間違いありません。しかし、その砦が攻撃者にとって容易に攻略できるものであっては意味がありません。ここでは、ランサムウェアに打ち勝つための強固なバックアップ戦略の要点を解説します。

攻撃者は、事業復旧の要であるバックアップデータを執拗に狙ってきます。以下のようなバックアップ構成は、特に危険です。

• 常にネットワークに接続されているNASやファイルサーバーにバックアップしている
  • 本体のPCやサーバーが感染すると、ネットワーク経由でバックアップデータも同時に暗号化されてしまいます。

• バックアップ管理サーバーと業務サーバーが同じドメイン（Active Directory）で管理されている
  • 管理者アカウントが乗っ取られた場合、バックアップデータも容易に削除・暗号化されてしまいます。

• バックアップデータの世代管理が不十分
  • 数日分のバックアップしかなく、感染に気づくのが遅れた場合、すべてのバックアップが感染後のデータで上書きされている可能性があります。

これらの点に一つでも当てはまる場合、貴社のバックアップ戦略は早急な見直しが必要です。

ランサムウェア対策におけるバックアップの基本原則として、古くから提唱されているのが「3-2-1ルール」です。このルールを徹底することが、データ保護の第一歩となります。

オリジナルデータに加えて、少なくとも2つのバックアップを作成し、合計で3つのデータコピーを保持します。これにより、1つのバックアップに障害が発生しても、もう一方で対応できます。

例えば、1つは社内のNASに、もう1つはクラウドストレージやテープメディアに保存するなど、異なる種類の媒体にバックアップを保管します。これにより、特定の媒体の脆弱性や障害が、すべてのバックアップデータに影響を及ぼすリスクを低減できます。

3つのコピーのうち、少なくとも1つは物理的に離れた場所（オフサイト）に保管します。本社でバックアップを取っているなら、支社やデータセンター、クラウドなどが該当します。これにより、火災や自然災害といった物理的な脅威だけでなく、社内ネットワーク全体に広がるランサムウェア攻撃からもデータを保護できます。

3-2-1ルールを基本としながら、さらにセキュリティを強固にするための技術的対策を3つご紹介します。

イミュータブル（Immutable）とは「不変」を意味します。イミュータブルストレージに一度書き込まれたデータは、設定した保持期間が経過するまで、いかなるユーザー（管理者含む）からも変更・削除ができません。たとえ攻撃者がシステムに侵入したとしても、バックアップデータを破壊することができなくなるため、ランサムウェア対策として極めて有効です。

エアギャップとは、バックアップデータを保存したシステムや媒体を、ネットワークから物理的に完全に分離することです。例えば、外付けHDDやLTOテープにバックアップを取得し、その後はネットワークから切り離して保管する方法がこれにあたります。最も原始的ですが、ネットワーク経由の攻撃を完全に遮断できるため、非常に強力な防衛策となります。

バックアップデータそのものを暗号化しておくことで、万が一データが窃取されたとしても、情報漏えいを防ぐことができます。また、バックアップシステムへのアクセス権を必要最小限の担当者に限定し、業務システムとは異なる強力な認証（多要素認証など）を設定することで、不正アクセスによるデータ破壊のリスクを大幅に低減できます。

【シナリオ別】バックアップからの迅速な事業復旧 完全ガイド

堅牢なバックアップを確保できたら、次は「いかにしてそのバックアップから迅速かつ安全に事業を復旧させるか」というシナリオを具体的に計画する必要があります。

復旧計画を立てる上で欠かせないのが、RPOとRTOという2つの目標値です。これらは情シス部門だけで決めるのではなく、必ず経営層や事業部門と合意形成しておく必要があります。

RPO（Recovery Point Objective）は、インシデント発生時に、どの時点のデータまで遡って復旧させるかを示す目標値です。「バックアップの頻度」と言い換えることもできます。例えば、RPOを24時間に設定した場合、1日1回のバックアップが必要となり、最大で24時間分のデータ損失を許容することになります。RPOを短くすればデータ損失は減りますが、バックアップのコストやシステム負荷は増大します。

RTO（Recovery Time Objective）は、インシデント発生から、システムが復旧して事業を再開するまでの目標時間です。RTOが短ければ短いほど、事業停止による機会損失は少なくなりますが、その分、高速なリストアが可能な高価なソリューションや、入念な訓練が必要になります。

重要なのは、全てのシステムで同じRPO/RTOを目指すのではなく、事業インパクトに応じてシステムの優先順位をつけ、それぞれに適切な目標値を設定することです。

実際にランサムウェアに感染したという想定で、バックアップからの復旧手順をステップバイステップで見ていきましょう。

事前に定めたRTO/RPOに基づき、どのシステムから復旧させるかの優先順位を再確認します。一般的には、販売管理や生産管理といった直接的な売上に関わる基幹システムや、顧客対応に必要なシステムなどが優先されます。

既存の社内ネットワークは汚染されている可能性があるため、決してそのまま使用してはいけません。外部のデータセンターやクラウド上に、完全に隔離されたクリーンなネットワーク環境（クリーンルーム）を準備し、そこに新しいサーバーやPCを用意します。

復旧に使うバックアップデータ自体に、ランサムウェアが潜伏していないかを徹底的に検証します。バックアップデータを直接リストアする前に、サンドボックス環境などで展開し、最新のウイルス対策ソフトでスキャンをかけます。感染に気づく前に取得したバックアップデータにマルウェアが潜んでいるケースは少なくありません。

検証によって安全性が確認されたバックアップデータを使って、クリーンルームに用意した新しいサーバーへシステムをリストア（復元）します。この際、OSやアプリケーションは最新のセキュリティパッチが適用されたクリーンなイメージからインストールし直すことが重要です。

リストアしたシステムが正常に動作するか、データに不整合がないかを事業部門の担当者も交えて入念にテストします。問題がなければ、エンドポイントセキュリティの再導入やパスワードの一斉変更といったセキュリティ対策を再徹底した上で、ネットワークを切り替え、業務を再開します。

どれだけ完璧な復旧計画を立てても、それが「絵に描いた餅」では意味がありません。定期的に復旧テスト（DR訓練）を実施し、計画の実効性を確認することが不可欠です。

半年に1回、あるいは年に1回でも構いません。実際にバックアップからシステムをリストアしてみて、「手順書通りに進められるか」「想定時間内（RTO）に復旧できるか」「担当者は迷わず作業できるか」といった点を検証しましょう。テストで見つかった課題を計画書にフィードバックし、改善を繰り返すことで、いざという時に本当に動ける体制を構築できます。

バックアップだけでは不十分？ランサムウェア対策を盤石にする多層防御

これまでバックアップと復旧の重要性を強調してきましたが、もちろんそれだけで万全というわけではありません。攻撃の侵入を未然に防ぎ、万が一侵入されても早期に検知・対応するための「多層防御」の考え方が不可欠です。

従来のウイルス対策ソフト（アンチウイルス）が既知のウイルスのパターンを検出するのに対し、EDR（Endpoint Detection and Response）はPCやサーバー（エンドポイント）の挙動を常に監視し、未知のマルウェアや不審な活動を検知・対処することができます。さらに、XDRはPCだけでなく、ネットワーク機器やクラウドサービスなど、複数のソースから情報を集めて相関分析することで、より高度な脅威を検知します。

OSやソフトウェアに存在するセキュリティ上の欠陥（脆弱性）は、ランサムウェアの主要な侵入経路の一つです。定期的に脆弱性診断ツールで自社のシステムをスキャンし、危険な脆弱性が発見された場合は、速やかにセキュリティパッチを適用する（パッチマネジメント）体制を構築することが重要です。

どんなに強固なシステムを導入しても、従業員が不用意に不審なメールの添付ファイルを開いてしまえば、そこから感染は広がります。全従業員を対象とした定期的なセキュリティ教育に加え、実際に偽の攻撃メールを送付して対応を訓練する「標的型攻撃メール訓練」を実施することで、組織全体のセキュリティ意識（セキュリティリテラシー）を高めることが可能です。

まとめ：ランサムウェアの脅威から事業を守るために、今すぐ取り組むべきこと

本記事では、ランサムウェアの脅威を前に、情報システム担当者が取るべき初動対応から、事業継続の生命線となるバックアップ戦略、そして迅速な復旧シナリオまでを網羅的に解説してきました。

• 初動が重要：感染発覚時は「隔離」「特定」「報告」「連携」「保全」の5ステップを冷静に実行する。
• バックアップは3-2-1ルールで：最低3つのコピーを、2種類の媒体に、1つは遠隔地で保管する。
• バックアップを破壊させない：イミュータブル、エアギャップ、暗号化・権限管理でバックアップそのものを守る。
• 復旧は計画的に：RPO/RTOを定め、クリーンな環境で、検証済みのデータからリストアする。
• 訓練こそが成功の鍵：定期的な復旧テスト（DR訓練）で、計画の実効性を高める。
• 防御は多層的に：バックアップに加え、EDRの導入や脆弱性対策、従業員教育で侵入リスクを低減する。

最後に、自社の対策レベルを簡易的に診断できるチェックリストをご用意しました。ぜひこの機会に、現状の確認にお役立てください。

• ランサムウェア感染時の初動対応手順が文書化され、関係者に周知されているか？
• バックアップの「3-2-1ルール」は遵守できているか？
• バックアップデータはネットワークから隔離（オフライン/イミュータブル）されているか？
• バックアップデータは暗号化されているか？
• 事業インパクトに応じたシステムのRPO/RTOが定義され、経営層と合意できているか？
• バックアップからの復旧手順が文書化され、定期的にテスト（DR訓練）を実施しているか？
• EDR/XDRといった次世代のエンドポイントセキュリティを導入しているか？
• 定期的な脆弱性診断と、迅速なパッチ適用の体制が整っているか？
• 全従業員を対象としたセキュリティ教育や標的型攻撃メール訓練を定期的に実施しているか？

もし、一つでもチェックが付かなかった項目があれば、そこが貴社のセキュリティにおける弱点かもしれません。

ランサムウェア対策は、もはや情報システム部門だけの課題ではなく、事業継続を左右する経営課題です。この記事で解説した対策を自社でどこまで実現できているか、もし少しでも不安に感じられたなら、専門家の視点から現状を分析し、最適な改善策をご提案することも可能です。

貴社の事業と情報を守るための具体的な一歩として、まずは無料相談や資料請求をご活用ください。 私たちが全力でサポートいたします。