ランサム被害の復元成功はわずか2割、企業が直面する現実
はじめに
警察庁が2026年3月12日に公表した「サイバー空間をめぐる脅威の情勢」によると、2025年のランサムウェア被害は226件に上りました。特に深刻なのは、バックアップからの復元に成功したケースがわずか2割にとどまっている点です。さらに被害企業の8%が一時的に全業務停止に追い込まれたことも判明しています。
「バックアップを取っているから安心」という認識は、もはや通用しません。本記事では、ランサムウェア被害の最新動向と、バックアップが機能しない原因、そして企業が今すぐ取るべき実効性のある対策を解説します。
ランサムウェア被害の深刻化する実態
被害件数は高止まり、中小企業が標的に
2025年のランサムウェア被害226件は、2024年の222件とほぼ同水準であり、高止まりの傾向が続いています。2025年上半期だけで116件が報告されており、これは過去最多の水準です。
注目すべきは被害の分布です。2024年のデータでは被害の約63%にあたる140件が中小企業を標的としており、2025年もこの傾向は変わっていないとみられます。大企業と比較してセキュリティ投資が限られる中小企業は、攻撃者にとって「効率の良い標的」になっています。
全業務停止の衝撃
被害企業の8%が一時的に全業務停止に陥ったという事実は、ランサムウェアがもはや単なるIT上の問題ではなく、事業継続そのものを脅かすリスクであることを示しています。受発注システム、メール、会計システムなど基幹業務が一斉に暗号化されれば、企業活動は完全に麻痺します。
トレンドマイクロの分析によると、法人組織の事業活動に不可欠な基幹システムやデジタル基盤が攻撃を受けた場合、早期の復旧は容易ではなく、復旧に数か月を要するケースも珍しくありません。
バックアップが機能しない構造的な問題
92%がバックアップ取得済み、しかし復元成功は2割
警察庁の調査では、被害企業の92%がバックアップを取得していたにもかかわらず、復元に成功したのはわずか約2割にとどまりました。つまり、バックアップの「取得」と「復元可能な状態の維持」の間には、極めて大きなギャップが存在しています。
復元失敗の主な原因
復元に失敗した企業のうち、72%は「バックアップ自体も暗号化された」と報告しています。ランサムウェアは社内ネットワーク上のNASやファイルサーバーに接続されたバックアップデータも標的にするため、ネットワーク接続型のバックアップだけでは十分な防御にはなりません。
残りの22%は「データが古い・欠損等で復元に失敗」という回答でした。バックアップの取得頻度が低い、あるいは復元テストを実施していないケースが背景にあります。
復旧にかかる時間とコスト
復旧に要した期間について、「1週間以上」と回答した組織は約53%に上ります。さらに、復旧費用が「1,000万円以上」と回答した組織は約58%に達しました。業務停止による逸失利益を含めれば、実際の被害額はさらに大きくなります。
企業が今すぐ実施すべきバックアップ対策
3-2-1-1-0ルールの導入
従来の「3-2-1ルール」(3つのコピー、2種類のメディア、1つをオフサイト保管)に加え、米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)は「3-2-1-1-0ルール」を推奨しています。追加された「1」はオフラインまたはエアギャップ環境でのバックアップ保管、「0」は復元テストでエラーがゼロであることを意味します。
ネットワークから物理的に切り離されたオフラインバックアップは、ランサムウェアによる暗号化の影響を受けません。これが「最後の砦」として機能します。
イミュータブル(変更不可)バックアップの活用
クラウドストレージのオブジェクトロック機能や、WORM(Write Once Read Many)メディアを使用することで、一定期間バックアップデータの改ざんや削除を防止できます。攻撃者がバックアップシステムに侵入しても、データを暗号化することは不可能です。
定期的な復元テストの実施
バックアップからの復元テストを定期的に実施していない企業は少なくありません。「取って終わり」ではなく「復元できることを確かめて終わり」という運用に切り替える必要があります。四半期に1回以上の復元テストを実施し、実際にシステムが復旧できることを確認しましょう。
注意点・今後の展望
経営層のリーダーシップが不可欠
ランサムウェア対策はIT部門だけの課題ではありません。事業継続に直結するリスクである以上、経営層が主導して対策を推進する必要があります。BCP(事業継続計画)にランサムウェア被害シナリオを組み込み、復旧手順と意思決定プロセスを事前に整備しておくことが重要です。
攻撃手法の高度化に注意
近年のランサムウェアは、侵入後にネットワーク内を横展開し、バックアップシステムを特定・破壊してから暗号化を実行する手法が主流になっています。単純にバックアップを増やすだけでは対策として不十分であり、ネットワーク分離やアクセス制御の強化も併せて実施する必要があります。
まとめ
2025年のランサムウェア被害226件という数字は、サイバー攻撃が企業経営における最大級のリスクの一つであることを改めて示しています。バックアップを取得していた企業が92%であったにもかかわらず、復元に成功したのはわずか2割という現実は、従来のバックアップ運用の根本的な見直しを迫るものです。
企業が取るべきアクションは明確です。オフラインバックアップの導入、3-2-1-1-0ルールへの移行、定期的な復元テストの実施、そしてBCPへのランサムウェアシナリオの組み込みです。「バックアップがあるから大丈夫」ではなく、「復元できるバックアップがあるか」を今一度確認してください。
参考資料:
関連記事
アサヒGHD物流「昭和に逆戻り」が示す企業BCPの真価
ランサムウェア攻撃で全システム停止したアサヒが手作業で事業継続。2ヶ月の格闘が明かす危機対応の実態と、日本企業が学ぶべきサイバーセキュリティの教訓を解説します。
アドバンテストがランサムウェア被害、半導体業界への影響は
半導体検査装置で世界首位のアドバンテストがランサムウェア攻撃を受けました。攻撃の概要、業績・株価への影響、半導体業界全体のサイバーセキュリティ課題について詳しく解説します。
アスクル、サイバー被害120億円から顧客奪還へ
ランサムウェア攻撃で120億円の被害を受けたアスクルが、PB商品の値下げで流出顧客の回復に乗り出します。全面復旧後の経営戦略と課題を解説します。
サントリーHD委託先がランサムウェア被害、914人の個人情報漏洩か
サントリーホールディングスの広報業務委託先がランサムウェア攻撃を受け、メディア関係者914人分の個人情報が漏洩した可能性。サプライチェーン攻撃のリスクと対策を解説します。
アサヒへのサイバー攻撃、業界「共倒れ」の教訓
アサヒグループへのランサムウェア攻撃は、ライバル企業を含む飲料業界全体に混乱を引き起こしました。サプライチェーンの脆弱性が露呈した事件の経緯と、企業が学ぶべき教訓を解説します。
最新ニュース
アクティビストの標的が変化、還元から再編へ
割安株の減少でPBR1倍超え企業も標的に。アクティビストの投資戦略が株主還元から事業再編へとシフトする背景と今後の展望を解説します。
アームが初の自社製チップ発表、AI半導体市場に本格参入
ソフトバンクグループ傘下の英アームが35年の歴史で初めて自社製チップ「AGI CPU」を発表。メタやOpenAIを顧客に迎え、5年で年間150億ドルの売上を目指す戦略転換の全容を解説します。
Armが半導体自前開発に参入、AI向けCPUで事業転換
ソフトバンク傘下の英Armが35年間のIPライセンスモデルを転換し、自社開発チップ「AGI CPU」でメタやオープンAIにAI半導体を直接供給する戦略の背景と影響を解説します。
イビデン大幅続伸の背景と半導体銘柄上昇の全貌
2026年3月25日、イビデンが特別利益491億円の計上発表で大幅続伸。半導体関連銘柄が軒並み上昇した背景には、米イラン停戦期待による原油下落と投資家心理の改善がありました。
イラン強硬派「3人組」の実権と米15項目和平案の行方
ハメネイ師亡き後のイランで実権を握る革命防衛隊出身の強硬派3人組と、トランプ政権が提示した15項目の和平案の内容・交渉の行方を詳しく解説します。