独立系ITコンサルティング・調査会社である株式会社アイ・ティ・アール(所在地:東京都新宿区、代表取締役:三浦 元裕、以下「ITR」)は、企業システムにおけるランサムウェアの感染からの復旧状況、および復旧での課題についての調査結果を発表いたします。本調査結果は、国内企業のシステム管理またはセキュリティの責任者を対象に2025年3月に実施した『企業のサイバーリカバリ実態調査』の結果から得たもので、315件の有効回答を得ています。
■ランサムウェア感染率は5社に1社、情報通信や建設・不動産などに標的がシフト
2024年以降、ランサムウェアの感染被害にあった企業は19%に上り、およそ1年の間(2024年1月~2025年3月)に5社に1社が被害にあっています。一方、2023年以前の感染経験は35%で3社に1社にも上っていました。
業種別の感染被害状況をみると、2024年以降は、情報通信の感染率が28%と最も高く、建設・不動産(24%)、サービス(23%)と続いています(図1)。2023年以前は、卸売・小売(52%)やプロセス製造(43%)の感染率が非常に高かったものの、2024年以降は他の業種よりも大幅に低下し被害は落ち着いています。これらの結果から、ランサムウェア攻撃の標的が、卸売・小売やプロセス製造から、情報通信、建設・不動産、サービス業にシフトしているともみられ、この3業種は特に攻撃への注意が必要となります。
図1.ランサムウェアの業種別感染被害の状況
■システムを完全復旧できない企業が7割、バックアップデータの侵害が大きな原因
ランサムウェアの感染経験がある企業に対し、システムの復旧状態を調査したところ、2023年以前は49%とほぼ半数の企業が完全復旧できたのに対し、2024年以降は30%にまで減少しています(図2)。一方、「ほとんど復旧できなかった」企業は、2023年以前の13%から、2024年以降は28%に倍増しました。「一部は復旧できたが、完全な状態には戻せなかった」企業を含めると、2024年以降は完全復旧できなかった企業が70%に上ります。
図2.ランサムウェア感染からのシステム復旧状況
この背景には、バックアップデータの侵害が大きな要因としてあげられます。ランサムウェア感染時にバックアップデータが暗号化された企業は、2023年以前は36%だったのに対し、2024年以降は47%に上昇しており、実に感染企業の半数近くがバックアップデータにまで被害を受けています。従来のバックアップ手法では、ランサムウェアによる侵害を防ぐことが難しくなっています。そのため、保存されたデータを変更不可能な状態で保持することで、ランサムウェアによる暗号化や改ざんを防ぐイミュータブルバックアップや、ネットワークから物理的または論理的に切り離された環境にバックアップデータを保管することで、攻撃者からのアクセスを遮断するエアギャップバックアップなど、新しいバックアップ手法の導入が重要となります。
■復旧に1週間以上を要した企業が7割、迅速な被害把握と初動対応が重要な課題
ランサムウェア感染の検知からシステム復旧までの所要時間を調査したところ、2023年以前は6日以内に復旧できた企業が48%と半数近かったのに対して、2024年以降は70%が復旧に1週間以上を要しています。さらに、1ヵ月以上かかった企業も12%に上りました。この結果から、感染後の復旧が年々困難になっている状況が浮き彫りとなりました。
復旧までの過程で企業が直面した問題としては、「被害の範囲や影響の把握に想定以上の時間を要した」が最も多く、復旧に1週間以上かかった企業の60%、6日以内の企業でも57%がこれをあげています(図3)。また、「どのバックアップデータが安全かわからなかった」との回答も、特に復旧に1週間以上かかった企業に多くみられました。ランサムウェア感染時には、まずデータの被害範囲と感染していない安全なデータを早急に把握することが重要ですが、多くの企業はその初動対応に時間を要していることがわかりました。さらに、「復旧作業に必要なスキルや知識をもつ人材が社内に不足していた」との回答も多く、専門スキルをもつ人材の不足も課題となっています。
図3.ランサムウェア感染からシステムの復旧までに生じた問題
ITRのシニア・アナリストである入谷 光浩は、「今回の調査結果からも明らかなように、高度化・巧妙化が進むサイバー攻撃を完全に防ぐことは難しくなっています。企業は、攻撃を受けることを前提に、その影響を最小限に抑え、迅速に復旧する能力を備えることが求められています。そのためには、サイバー攻撃を前提としたサイバーリカバリのアプローチへの移行が急務となります。サイバーリカバリでは、最後の要となるデータを暗号化や破損から守るバックアップの仕組みの構築が重要です。さらに、攻撃によりシステム侵害を受けた際には、迅速にデータの感染状況と影響範囲を把握し、安全なバックアップデータを使用してシステムを復旧する仕組みを構築することで、高いレジリエンスを備えたサイバーリカバリの実現が可能となります」と述べています。
ITRでは、本調査結果を含むホワイトペーパーを本日公開しました。同ホワイトペーパーには、国内企業のランサムウェアの感染被害と復旧の状況、バックアップとリカバリにおけるサイバー攻撃対策と課題に焦点を当て、より詳細な分析結果を掲載しています。さらに、サイバーリカバリの実現に向けたアプローチとベストプラクティスについて、成熟度モデルと併せて解説しています。