はじめに
ランサムウェアは、いまや特定の業種や大企業だけの問題ではありません。VPN 機器などの境界に侵入され、社内のファイルサーバーごと暗号化される被害が後を絶たず、報告件数は高い水準で推移しています。多くの組織にとって現実的な前提は、「侵入を完全には防ぎきれない」ことを認めたうえで、被害をいかに小さく抑え、いかに早く復旧するかに重心を移すことです。
とはいえ、対策の選択肢は予防・検知・復旧と多岐にわたり、「結局、何から手をつければよいのか」が見えにくいのも実情です。本記事では、最新の脅威動向を踏まえながら対策の全体像を俯瞰し、特に復旧の要となるバックアップ設計の考え方を整理します。
- ランサムウェアの最新の脅威動向(主な侵入経路・手口・被害規模)
- 予防・検知・復旧から成る多層防御の全体像と、対策の優先順位
- 「やられても戻せる」状態をつくる 3-2-1-1-0 ルールの考え方
- ファイルサーバーを守る具体策と、自社規模に応じた次のステップ
結論を先に述べると、完全な侵入防止が難しい以上、対策は予防・検知・復旧の多層で組み立てるのが現実的です。その中で復旧を最終的に支えるのが、管理者権限でも改ざん・削除できない「不変(イミュータブル)」なバックアップを軸とした 3-2-1-1-0 の設計です。
ランサムウェアの脅威動向(2025〜2026)
まず、対策の前提となる足元の状況を確認します。被害は高止まりし、標的は中小企業へ広がり、侵入経路と手口にも一定の傾向が見られます。
主な侵入経路と二重恐喝・ノーウェアランサム
直近の傾向として、侵入経路は VPN 機器やリモートデスクトップ(RDS)が大多数を占めます。手口は、データを暗号化したうえで「支払わなければ窃取データを公開する」と脅す二重恐喝型が主流となり、さらに暗号化を伴わずデータ窃取と暴露予告だけで脅迫する「ノーウェアランサム」も確認されています。攻撃をビジネス化した RaaS(Ransomware as a Service)の広がりが、攻撃者の裾野を押し広げている点も背景にあります。
参考: 警察庁「令和 7 年におけるサイバー空間をめぐる脅威の情勢等について」
「令和 7 年におけるランサムウェアの被害報告件数は 226 件であり、依然として高水準で推移」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf
中小企業ほど狙われる理由
被害組織の規模別では中小企業が約 6 割を占め、業種別では製造業が最多となっています。復旧費用が 1,000 万円以上に達したケースは半数を超え、復旧期間も長期化する傾向が続いています。「規模が小さいから狙われない」という見方は実態と逆で、中小企業はセキュリティ体制が手薄になりやすく、攻撃者からは侵入しやすい標的と見なされやすいのが実情です。サプライチェーンの起点として、取引先経由で被害が広がる構図もあり、規模を問わず備えておくことをおすすめします。
なお、IPA の「情報セキュリティ 10 大脅威 2026」でも、組織向け脅威の 1 位はランサム攻撃による被害でした。組織にとって優先度の高いリスクであることは、公的機関の評価からも裏付けられています。
多層防御の全体像: 予防・検知・復旧
単一の対策で侵入を完全に止めることは難しく、対策は複数の層を重ねて考えるのが現実的です。大きくは、侵入を防ぐ「予防」、侵入や不審な挙動に気づく「検知」、被害が出ても業務を戻す「復旧」の 3 つに整理できます。CISA の #StopRansomware Guide も、準備・予防・検知・対応・復旧という観点でベストプラクティスを体系化しています(https://www.cisa.gov/stopransomware/ransomware-guide )
入口対策(予防)の要点
侵入経路の大多数が VPN 機器やリモートデスクトップである以上、予防の中心はインターネットに面した資産の管理です。具体的には、公開機器の脆弱性解消とパッチ適用、不要な公開ポートの閉鎖、多要素認証(MFA)の導入、認証情報の保護と最小権限の徹底、ネットワークのセグメント分離などが挙げられます。エンドポイント側では EDR/EPP による保護が有効です。人材が不足しがちな拠点では、こうした境界の運用・監視をアウトソースするのも一つの選択肢としておすすめできます。
検知と封じ込め
予防をすり抜けた侵入を早期に捉えるのが検知の役割です。EDR や SIEM によるログの相関分析で、認証情報の悪用や内部での横展開(ラテラルムーブメント)といった暗号化前の予兆を捉えられる場合があります。あわせて、インシデント対応計画(IRP)を事前に整備し、ネットワーク分離によって被害を局所化できる構成にしておくと、封じ込めの初動が早まります。「侵入される前提」で、気づける仕組みと止められる体制を整えておくことが重要です。
なぜバックアップが「最後の砦」なのか
予防と検知をすり抜けてデータが暗号化された場合、最後に頼れるのがバックアップです。身代金を支払わずに事業を再開できるかどうかは、復元可能なバックアップが手元に残っているかにかかっています。
ただし、ここに落とし穴があります。近年の攻撃者は、本番データを暗号化する前にバックアップを探し出し、削除・暗号化して復旧手段を奪おうとします。オンラインで常時接続され、ドメインに参加し、過剰な権限を持つアカウントから操作できるバックアップは、それ自体が攻撃対象になりやすいということです。つまり、バックアップを「取っている」だけでは不十分で、バックアップ自体が標的になる前提で、管理者権限でも改ざん・削除できない状態にしておくことが、最後の砦を機能させる条件になります。
参考: CISA「#StopRansomware Guide」
“maintain offline, encrypted backups of critical data”
(重要データのバックアップを、オフラインかつ暗号化した状態で保持する)
https://www.cisa.gov/stopransomware/ransomware-guide
この「改ざん・削除できないバックアップ」を、どこに・どのように・いくつ持つべきかを体系化したのが、 3-2-1-1-0 ルールです。
3-2-1-1-0 ルールで考えるバックアップ設計
「改ざん・削除できないバックアップを、どこに・いくつ持つか」を具体化する指針が 3-2-1-1-0 ルールです。長く基本とされてきた 3-2-1 ルールを、ランサムウェア時代に合わせて拡張した考え方になります。
3-2-1 から 3-2-1-1-0 への発展
3-2-1 ルールは、データを 3 つのコピーで保持し、2 種類の異なるメディアに保存し、そのうち 1 つをオフサイト(別拠点)に置く、という考え方です。長年有効でしたが、クラウドの普及と攻撃の高度化により、これだけでは守りきれないケースが増えてきました。
そこで追加されたのが、後ろの「1」と「0」です。「1」は、管理者権限でも改ざん・削除できない不変(イミュータブル)な状態、または物理的にネットワークから隔離(オフライン)した状態のコピーを、もう 1 つ持つことを指します。「0」は、定期的な復旧テストを行い、エラーなく復元できることを確認するプロセスを意味します。CISA や NIST、日本の警察庁などの公的機関でも、従来の 3-2-1 を発展させたこうした考え方が推奨されています。
「1」イミュータブル/オフライン と「0」復旧テスト
「1」は、前のセクションで触れた「最後の砦」を技術的に担保する層です。具体的には、WORM(Write Once Read Many)対応ストレージ、オブジェクトストレージの Object Lock、エアギャップ(物理隔離)、テープなどが該当します。これらは、たとえ本番環境や管理アカウントが侵害されても、保持期間中はバックアップを書き換え・削除できない状態を保ちます。
「0」は、「取れていたはずのバックアップが壊れていて使えなかった」という事態を防ぐための層です。バックアップは取得して終わりではなく、自社の目標復旧時間(RTO)・目標復旧時点(RPO)に沿って実際に復元できるかを定期的に検証しておくことをおすすめします。
ファイルサーバーを守る具体策と次のステップ
ここまでの考え方を、自社のファイルサーバー保護に落とし込みます。基本となるのは、ローカルとクラウドの 2 層を組み合わせて 3-2-1-1-0 を満たす構成です。なお、不変ストレージの基礎をより詳しく知りたい場合は、関連記事『ファイルサーバーのランサムウェア対策|不変バックアップ設計の基礎』もあわせて参照してください。
ローカル側: NAS のスナップショット・WORM
ローカル側は、復旧の速さが利点です。QNAP や Synology の NAS では、スナップショットによる世代管理に加え、WORM 機能でスナップショットや共有フォルダを不変化できます。Synology の場合、DSM 7.2 以降でライセンス不要の WriteOnce 共有フォルダと Immutable Snapshot が利用できます(対応機種は限られるため、導入時に公式の対応機種一覧の確認をおすすめします)
クラウド側: オブジェクトストレージの Object Lock
クラウド側は、オフサイトかつ不変なコピーを担います。Amazon S3 や Wasabi のオブジェクトストレージは Object Lock に対応しており、保持期間中の削除・上書きを防げます。CISA のガイドでも、ランサムウェアで標的になりやすいストレージへの対策として、削除保護やオブジェクトロックの有効化が挙げられています。
参考: CISA「#StopRansomware Guide」
“Enable delete protection or object lock on storage resources often targeted in ransomware attacks”
(ランサムウェア攻撃で標的になりやすいストレージに、削除保護やオブジェクトロックを有効化する)
https://www.cisa.gov/stopransomware/ransomware-guide
検証環境を使った S3 Object Lock の具体的な設定は関連記事『AWS S3 Object Lock でランサムウェア対策|設定手順と注意点』で、コストを抑えたい場合の選択肢は『Wasabi での低コスト構成』で詳しく解説します。
自社規模に合わせた構成の選び方
中小規模では、NAS(ローカルの即時復旧)と Wasabi や S3(不変なオフサイトコピー)を組み合わせる構成が扱いやすく、費用も見積もりやすいのが利点です。大規模環境では、Veeam などのバックアップソフトと Object Lock(Compliance モードや Vault Lock)を連携させ、冗長化や運用体制まで含めて設計する形が中心になります。
まとめ
ランサムウェアは、侵入を完全には防ぎきれない前提で備えるフェーズに入っています。被害の中心は中小企業へ広がり、対策は予防・検知・復旧の多層で組み立てることが現実的です。その復旧を最後に支えるのが、改ざん・削除できない不変バックアップを軸とした 3-2-1-1-0 の設計です。
- ランサムウェアの侵入は完全には防ぎきれない前提で備える。
- 主な侵入経路は VPN・RDS、被害の中心は中小企業
- 対策は予防・検知・復旧の多層で組み立てる。
- 復旧の最後の砦はバックアップだが、それ自体も攻撃対象
- 改ざん・削除できない不変バックアップが復旧の鍵
- 設計指針は 3-2-1-1-0、定期的な復旧テストまで含める。
- ローカルの NAS とクラウドの Object Lock を組み合わせて多層化
以上、最後までお読みいただきありがとうございました。
