身代金を支払っても、データがスムーズに、あるいは確実に復旧できる保証はありません。しかし、それだけがセキュリティリーダーが直面する問題ではありません。準備が鍵となります。
保険会社Hiscoxが数千社の中小企業を対象に実施した調査によると、ランサムウェアの復号化のためにサイバー犯罪者に支払いを行った企業の5社に2社が、結果としてデータの復旧に失敗しています。
この調査では、ランサムウェアが依然として大きな脅威であることも明らかになりました。調査対象企業の27%が過去1年以内に攻撃を受けたと報告しています。そのうち、保険加入・未加入を問わず80%が、重要なデータの復旧や保護を試みて身代金を支払っています。
しかし、Hiscoxのサイバー・レディネス・レポートによると、全データまたは一部のデータの復旧に成功したのはわずか60%にとどまりました。
今月初めに発表されたQBE保険のレポートによると、サイバー犯罪とクラウドベースの脅威に関する調査で、2025年第1四半期のランサムウェア被害件数は前年同期の572件から1,537件へとほぼ3倍に急増したことが明らかになりました。また、今月発表されたCrowdStrikeの2025年版ランサムウェア調査では、身代金を支払った被害者の93%がデータを盗まれていたことも判明しています。
不完全なランサムウェア暗号化が復旧を妨げることが多い
Hiscoxのランサムウェア被害者に関する統計は、組織がランサムウェア攻撃からの復旧を試みる際に直面する数多くの困難のうちの一つにすぎないと、業界専門家は指摘します。
「60%の復旧率は、インシデント対応で日常的に直面する技術的・運用的な現実を反映しています」と、サイバーセキュリティ企業Bridewellのインシデントレスポンスマネージャージェームズ・ジョン氏はCSOに語ります。「まず、ランサムウェア運営者の熟練度には大きな差があります。LockBitやALPHVのような大手グループは『評判』を維持するために機能する復号ツールを提供する傾向がありますが、小規模なグループは不完全な暗号化を実装したり、支払い後に姿を消したりすることがよくあります。」
復号ツールはしばしば遅く、不安定であることが多いとジョン氏は付け加えます。
「企業全体の大規模な復号には数週間かかることがあり、破損したファイルや複雑なデータベースシステムでは失敗することがよくあります」と彼は説明します。「復号プロセス自体が追加のデータ破損を引き起こすケースも存在します。」
復号ツールが提供された場合でも、バグが含まれていたり、ファイルが破損したりアクセス不能になったりすることがあります。多くの組織は未検証で脆弱なバックアップに依存しており、さらに悪いことに、被害者の多くはバックアップも攻撃の一部として暗号化されていたことに気付きます。
「犯罪者はしばしば不完全または互換性のない暗号化ツールを使用し、多くの企業は、特にバックアップが不十分だったりシステムがまだ侵害されている場合、データをクリーンに復元するためのインフラが不足しています」と、英国のマネージドセキュリティプロバイダーAvella Securityのパートナーであり、英国政府のサイバーセキュリティアドバイザーでもあるダリル・フラック氏は述べています。
復旧にかかるさらなるプレッシャー
現代のランサムウェア攻撃では、攻撃者が盗んだデータの漏洩を脅迫したり、支払い後も分散型サービス妨害(DDoS)攻撃を仕掛けたりする「二重・三重脅迫」が常態化しています。
これにより、被害者が身代金を支払う場合に期待できる結果の計算式が根本的に変わり、ランサムウェア攻撃による多くの問題が解決しないことがますます多くなっています。
「支払いは暗号化という要素にしか対応できず、より広範な侵害には対応できません」とBridewellのジョン氏は指摘します。
さらに、ランサムウェアインシデントは組織に法的・運用的・評判的な問題を同時にもたらし、多くの場合数時間以内に対応を迫られます。
これらの要因と、犯罪者とのやり取りに伴う本質的な不確実性が相まって、身代金の支払いが完全なデータ復旧に至らない理由を説明しています。
リリアン・ツァン氏(Harper Jamesのデータ保護・プライバシーチームの上級弁護士)は、復号キーを受け取った場合でも、データの一部はすでに永久に損傷・改ざん・盗難されている可能性があると警告します。
「これは運用上の課題を生むだけでなく、特に個人データが関与している場合、データ保護上の懸念も生じます」とツァン氏は説明します。「記録が失われたり侵害された場合、これは英国GDPRにおける個人データ漏洩に該当し、報告義務や規制当局による監視の可能性が生じます。」
身代金を支払っても、犯罪者が約束を守らなかった場合に企業が法的救済を受けることはできません。さらに悪いことに、「資金が知らずに制裁対象グループに送金されると、さらなるリスクが生じます」とツァン氏は警告します。
財務的なレジリエンスと法的課題
ランサムウェア攻撃が実際にどのように展開するかは、日本の中堅物流企業カンツウの経営幹部による証言からも示されています。カンツウの辰城久大社長は、ランサムウェア攻撃後の業務復旧の取り組みについてCIO.comに語りました。
カンツウは身代金を支払いませんでしたが、保険に加入していたものの保険金支払いまでに請求手続きが必要だったため、業務復旧費用を賄うために金融機関から融資を受けざるを得ませんでした。この事例は、企業がランサムウェア攻撃からの復旧を成功させるためには、運用面だけでなく財務面の計画も必要であることを示しています。
さらに、ランサムウェア攻撃でシステムが停止した場合、特に個人データが漏洩した場合には、規制当局や影響を受けた個人への通知義務などの法的義務が即座に発生します。
「最大の課題の一つは、断片的な情報しかない中で迅速かつ重大な意思決定を迫られることです」とHarper Jamesのツァン氏は述べます。「経営幹部は、支払いの法的リスク、事業継続への影響、個人への潜在的な影響を、しばしば技術的な明確性がないまま判断しなければなりません。」
備えあれば憂いなし
一部の専門家は、災害復旧計画の一環として、ランサムウェア攻撃の現実的な可能性を見越し、インシデント対応企業とリテイナー契約を結ぶことを推奨しています。
「信頼できるインシデント対応や交渉企業とリテイナー契約を結ぶこと――暗号通貨取引にも対応できる企業であることが重要です」と、脅威インテリジェンスに特化したサイバーセキュリティ企業BlackwiredのCEOジェレミー・サミデ氏は述べます。「こうした企業は交渉を管理し、複数の暗号通貨(例:ビットコイン、モネロ、ジーキャッシュ)にアクセスでき、支払いが唯一の復旧手段となった場合でも安全に送金できます。」
サミデ氏はさらに「準備とは屈服することではなく、あらゆるシナリオに備えることです」と付け加えます。
Harper Jamesのツァン氏は、ランサムウェア攻撃時に犯罪者への支払いのための資金を確保しておくことには警鐘を鳴らしています。
「身代金支払いのための資金を確保しておくことは、ますます問題視されています」とツァン氏は述べます。「支払い自体は違法ではありませんが、制裁違反となる可能性があり、さらなる犯罪行為を助長する恐れがあり、良い結果が保証されるわけでもありません。」
より安全な法的・戦略的立場を確保するには、強固なセキュリティ対策、十分に検証された復旧計画、明確な報告手順、サイバー保険への投資が有効だとツァン氏は助言します。
「サイバー保険はランサムウェア攻撃に不可欠です。財務的な保護だけでなく、被害を大幅に軽減しダウンタイムを短縮できる専門的なサポートも受けられるからです」とツァン氏は説明します。
サイバー保険の多くは、危機管理を積極的に支援し、以下のような補償が含まれています:
- 即時のインシデント対応とフォレンジック調査
- 感染システムの封じ込めと修復
- 攻撃者との交渉および法的調整
- データ復旧と事業継続支援
「保険は攻撃を防ぐことはできませんが、被害を和らげ、混乱に秩序をもたらし、組織がランサムウェア危機を単独で乗り越えなくて済むようにします」とBlackwiredのサミデ氏は述べます。
しかし、サイバー保険にも注意点があると他の専門家は警告します。
「保険料は上昇しており、保険会社は今や多要素認証、パッチ管理、検証済みバックアップなど、より高いサイバーセキュリティ基準を求めるようになっています」とAvella Securityのフラック氏は述べます。「この変化は、組織がリスク管理の一環としてより良いセキュリティ対策を採用することを促しています。」
サイバー復旧
ランサムウェア攻撃後のサイバー復旧は、災害復旧と同様に、完全に定義された社内復旧計画を持ち、妥協のないデータを自信を持って復元できるよう、十分に文書化して実施する必要があると専門家は助言します。
「企業がランサムウェア被害に遭った際、最初にして最も重要な課題の一つは、攻撃の全容を評価することです。どのデータが侵害され、どのシステムが影響を受け、既存のバックアップが信頼できるかどうかを特定する必要があります」と、Index EnginesのCMOジム・マッギャン氏は説明します。「バックアップがあっても、その完全性を検証するのは大きな障害であり、破損や改ざんされたファイルが含まれていれば、復旧時に再び脅威を持ち込む可能性があります。」
「今や企業は、単なる復元だけでなく、フォレンジックレベルでデータの検証を行う社内復旧計画が必要です」とマッギャン氏は助言します。
