ランサムウェア感染後に「システムを完全復旧できなかった」企業が7割を超える──ITR調査

　アイ・ティ・アール（以下、ITR）は、企業システムにおけるランサムウェアの感染からの復旧状況、および復旧での課題についての調査結果を発表した。

　同調査結果は、国内企業のシステム管理またはセキュリティの責任者を対象に2025年3月に実施した「企業のサイバーリカバリ実態調査」の結果から得たもので、315件の有効回答を得ているという。

ランサムウェア感染率は5社に1社、情報通信や建設・不動産などに標的がシフト

　2024年以降、ランサムウェアの感染被害にあった企業は19％に上り、およそ1年の間（2024年1月〜2025年3月）に5社に1社が被害に遭っているとのことだ。一方、2023年以前の感染経験は35％に上るという。

　業種別の感染被害状況を見ると、2024年以降は、「情報通信」の感染率が28％と最も高く、次いで「建設・不動産」が24％、「サービス」が23％と続く。2023年以前は、「卸売・小売」が52％や「プロセス製造」が43％と感染率が非常に高かったものの、2024年以降はほかの業種よりも大幅に低下し被害は落ち着いているという。これらの結果から、ランサムウェア攻撃の標的が、「卸売・小売」や「プロセス製造」から、「情報通信」「建設・不動産」「サービス業」にシフトしているとも見られ、この3業種は特に攻撃への注意が必要だとしている。

システムを完全復旧できない企業が7割、バックアップデータの侵害が大きな原因

　ランサムウェアの感染経験がある企業に対し、システムの復旧状態を調査したところ、2023年以前は49％とほぼ半数の企業が完全復旧できたのに対し、2024年以降は30％にまで減少。一方、「ほとんど復旧できなかった」企業は、2023年以前の13％から、2024年以降は28％に倍増したという。「一部は復旧できたが、完全な状態には戻せなかった」企業を含めると、2024年以降は完全復旧できなかった企業が70％に上るとのことだ。

　この背景には、バックアップデータの侵害が大きな要因として挙げられるとITRは述べる。ランサムウェア感染時にバックアップデータが暗号化された企業は、2023年以前は36％だったのに対し、2024年以降は47％に上昇しており、実に感染企業の半数近くがバックアップデータにまで被害を受けているという。従来のバックアップ手法では、ランサムウェアによる侵害を防ぐことが難しくなっているとのことだ。そのため、保存されたデータを変更不可能な状態で保持することでランサムウェアによる暗号化や改ざんを防ぐイミュータブルバックアップや、ネットワークから物理的または論理的に切り離された環境にバックアップデータを保管して攻撃者からのアクセスを遮断するエアギャップバックアップなど、新しいバックアップ手法の導入が重要だとしている。

復旧に1週間以上を要した企業が7割、迅速な被害把握と初動対応が重要な課題

　ランサムウェア感染の検知からシステム復旧までの所要時間を調査したところ、2023年以前は「6日以内」に復旧できた企業が48％と約半数だったのに対し、2024年以降は70％が復旧に「1週間以上」を要しているという。加えて、「1ヵ月以上」かかった企業も12％に上ったとしている。この結果から、感染後の復旧が年々困難になっている状況が浮き彫りになったとのことだ。

　復旧までの過程で企業が直面した問題としては、「被害の範囲や影響の把握に想定以上の時間を要した」が最も多く、復旧に1週間以上かかった企業の60％、6日以内の企業でも57％がこれを挙げたという。また、「どのバックアップデータが安全かわからなかった」との回答も、特に復旧に1週間以上かかった企業に多く見られたとしている。ランサムウェア感染時には、まずデータの被害範囲と感染していない安全なデータを早急に把握することが重要だが、多くの企業はその初動対応に時間を要していることがわかったという。また、「復旧作業に必要なスキルや知識を持つ人材が社内に不足していた」との回答も多く、専門スキルを持つ人材の不足も課題だとしている。

【関連記事】
・HENNGE One、セキュリティプラットフォーム「Cygiene」とAPI連携でセキュリティ強化
・約半数が「ツールの保守に時間とられる」──Splunk年次調査『2025年 セキュリティの現状』
・Facebookから偽Webサイトに誘導　生成AIサービスを悪用したサイバー犯罪の手口──CPR調査