EntryBackup Blog / ランサムウェア対策
ランサムウェア対策にバックアップが必要な理由
この記事の結論:ランサムウェア対策では、感染前の状態へ戻せる「世代管理バックアップ」と、本番サーバーとは完全に切り離した「オフサイト保管」が不可欠です。バックアップがあっても、復元できなければ意味がありません。
ランサムウェアとは何か
ランサムウェア(Ransomware)は、感染したコンピューターのファイルを暗号化し、復号と引き換えに身代金を要求するマルウェアです。2024年の国内被害報告では、1件あたりの平均復旧費用が1,000万円を超えるケースも増えており、中小企業にとっても他人事ではなくなっています。
感染経路として特に多いのは、メールの添付ファイルや不正リンク、VPN機器の脆弱性、リモートデスクトップの不正アクセスです。セキュリティ対策の強化と並行して、「感染してしまった後にどう復旧するか」を事前に準備しておくことが、被害を最小化する鍵です。
感染するとどうなるのか
ランサムウェアに感染すると、まずサーバーやパソコン内のファイルが次々と暗号化されます。WordやExcelのファイル、画像、データベース、Webサイトのコンテンツなど、業務に必要なほぼすべてのデータが使用不能になります。
暗号化が終わると、画面に身代金要求メッセージが表示されます。「ビットコインで〇万円支払えばファイルを元に戻す」という内容ですが、支払っても本当に復号されるとは限りません。警察庁もサイバー犯罪対策として、身代金の支払いを推奨していません。
ランサムウェア被害企業の約50%は、身代金を支払ってもデータを完全に取り戻せなかったという調査結果があります(海外調査報告より)。
なぜ「普通のバックアップ」では足りないのか
多くの企業が「バックアップはしている」と答えます。しかし実際に被害を受けた時、そのバックアップで復旧できないケースが後を絶ちません。主な原因は3つです。
① バックアップ自体が暗号化される
バックアップを本番サーバーと同じ場所(同一ネットワーク・同一ドライブ)に保存している場合、ランサムウェアはバックアップファイルも同様に暗号化します。バックアップフォルダだからといって特別扱いはされません。「バックアップを取っていたのに、バックアップも暗号化されていた」という被害は非常に多いのです。
② 直近のバックアップが「感染後」の状態
ランサムウェアは感染してからすぐに動作を始めるわけではありません。多くの場合、攻撃者はネットワークに潜伏して内部を調査した後、最も被害が大きくなるタイミングを狙って暗号化を実行します。潜伏期間は平均数日〜数週間と言われています。
毎日バックアップを取っていても、世代数が少なければ「保存してある全バックアップが感染後の状態」になってしまう可能性があります。2〜3世代のバックアップでは、潜伏期間をカバーできません。
③ 復元テストをしていない
バックアップファイルが「存在している」ことと、「実際に使える」ことは別の話です。ファイルが破損していたり、復元手順が不明確だったり、担当者が変わって作業方法がわからなくなっていたりするケースも少なくありません。緊急時に初めて復元作業をしようとして失敗する企業が多いのが現実です。
ランサムウェア対策バックアップの3つの柱
1. 世代管理(複数日分の保持)
感染に気づくまでのタイムラグを考慮すると、最低でも7〜14世代、できれば30世代以上のバックアップを保持することが推奨されます。世代管理があれば、「感染前の○日前のデータ」へ正確に戻すことができます。
| 世代数 | カバーできる期間(日次の場合) | 評価 |
|---|---|---|
| 1〜3世代 | 1〜3日前 | ⚠️ ランサムウェアの潜伏期間をカバーできない可能性が高い |
| 7〜14世代 | 1〜2週間前 | △ 短期潜伏には対応できるが余裕が少ない |
| 30世代以上 | 1ヶ月前まで | ✅ 多くのランサムウェア攻撃パターンに対応可能 |
2. オフサイト保管(本番環境との完全分離)
バックアップデータは、本番サーバーとは別のネットワーク・別の物理場所に保管することが原則です。同一ネットワーク内にあると、ランサムウェアが感染拡大した際にバックアップまで被害を受けます。
オフサイト保管の具体的な形態には、クラウドストレージへのオフラインコピー、専用のバックアップサーバー(VLAN分離)、週次でのオフラインHDD保管などがあります。EntryBackupでは、これらを組み合わせてお客様のデータを守っています。
3. 定期的な復元テスト
バックアップを取るだけでなく、「実際に復元できるか」を定期的に確認することが重要です。復元テストでは、特定の日時のデータをテスト環境に展開し、ファイル数・容量・整合性を確認します。これにより、緊急時に確実に復旧できる体制を維持できます。
中小企業が今すぐ確認すべきチェックリスト
- バックアップを何世代分保持しているか確認する(7世代未満は要改善)
- バックアップデータが本番サーバーとは別の場所に保管されているか確認する
- バックアップから実際に復元したことがあるか(テストを実施したことがあるか)
- ランサムウェアに感染した場合、誰が復旧作業を行うか決まっているか
- 復旧にかかる時間(RTO)の目標を設定しているか
- バックアップが正常に取得できているかを毎日確認しているか
レンタルサーバーの自動バックアップで十分ではない理由
多くのレンタルサーバーは自動バックアップ機能を提供していますが、以下の点に注意が必要です。
- 世代数が少ない(多くは3〜7世代程度)
- 本番データと同一サーバー内に保管されているケースがある
- 復元作業は基本的に自己責任(サポートの範囲外になることが多い)
- ランサムウェアによる論理破壊には対応しているが、暗号化には対応しきれない場合がある
バックアップの管理をサーバー会社任せにするのではなく、別途オフサイト保管とセットでの運用が推奨されます。
ランサムウェア被害を受けた場合の対応手順
万が一感染が確認された場合、以下の手順で対応します。
- 即時ネットワーク遮断:感染拡大を防ぐため、感染端末・サーバーをネットワークから切り離します
- 被害範囲の確認:どのファイルが暗号化されたか、感染はいつ始まったかを調査します
- バックアップの確認:感染前の状態のバックアップが存在するかを確認します
- 復旧作業:クリーンな環境にバックアップから復元します
- 再発防止策の実施:感染経路を特定し、脆弱性を修正します
ステップ3〜4で、事前に用意されたバックアップと復元手順がなければ、ここで初めて「どうすればいいかわからない」という状況に陥ります。だからこそ、平時の準備が重要なのです。
よくある質問(FAQ)
Q. クラウドストレージ(Googleドライブ等)にバックアップしていれば安全ですか?
同期型のクラウドストレージは、ランサムウェアに暗号化されたファイルが同期されてしまう可能性があります。バックアップ専用のサービス(バージョン管理・世代管理付き)と組み合わせることが重要です。
Q. ウイルス対策ソフトがあればランサムウェアも防げますか?
ウイルス対策ソフトは既知のランサムウェアには有効ですが、新種や亜種には対応できない場合があります。「防御」と「感染後の復旧準備」は両輪として考える必要があります。
Q. バックアップにはどれくらいのコストがかかりますか?
EntryBackupでは月額29,800円〜(税別)から、世代管理・暗号化オフサイト保管・復元対応代行をご提供しています。ランサムウェア被害時の平均復旧費用(数百万〜数千万円)と比較すると、コストパフォーマンスは非常に高い投資です。
Q. バックアップはどれくらいの頻度で取るべきですか?
業務データが毎日更新される場合は日次バックアップが基本です。重要なECサイトや受発注システムでは、さらに頻度を上げた時間単位のバックアップも検討してください。
← ブログ一覧へ戻る