ある日突然、会社のシステムが全部止まったら

朝出社してパソコンを開いたら、こんなことが起きている状況を想像してみてください。

• メールが一通も送れない・届かない
• 受発注システムが開かず、注文も出荷も止まる
• 給与や勤怠のデータにアクセスできない

結局、電話とFAXとExcelで、すべての仕事を手作業で回すことになります。普段なら中1日で終わる仕事が、中5日かかる。店頭から商品が消える。工場の生産ラインが止まる。

これは空想ではなく、2025年9月末に大手企業で実際に起きた出来事です。ランサムウェア（システムを暗号化して身代金を要求する攻撃）によって基幹システムや物流システムが止まり、複数の工場が生産停止を余儀なくされました。

アサヒグループは身代金の支払いを拒否し、バックアップから自力復旧する道を選びました。しかし、安全確認や段階的なシステム再開に時間がかかり、発覚から2か月経った11月末時点でも完全復旧には至らず、2025年12月時点でも決算発表が延期される状況が続きました。

この事例が示すのは、「大企業でもシステムは止まる」「バックアップがあっても、すぐには戻らない」という現実です。

ウイルスソフトが入っているから大丈夫！

多くの会社で、「ウイルスバスターやノートンを入れているから大丈夫」と考えられています。しかし、ランサムウェアの被害の多くは、ウイルス対策ソフトでは防ぎ切れなかった事例だと報告されています。

最近の攻撃は非常に巧妙です。

1. まずフィッシングメールなどで侵入する
2. 内部で数週間から数か月潜伏し、重要なサーバやバックアップの場所を調べる
3. セキュリティソフトを無効化する
4. その後、一斉にファイルを暗号化する

つまり、「入口で全部止める」は現実的ではなく、「いつかは入られるかもしれない」という前提で考え直す必要があります。この考え方を、専門用語では**侵入される前提（Assume Breach）**と呼びます。

ここで大事なのは、「セキュリティソフトは不要」という話ではなく、次の2点です。

• 鍵（セキュリティソフト）だけでは守り切れない
• もし入られても、会社が壊滅しないようにしておく

VPNは攻撃の道具となる

在宅勤務や出張先から仕事をするために、VPN（会社のネットワークに外から安全につなぐ仕組み）を使っている方も多いと思います。以前は、「VPNでつないだら社内と同じ。ファイルサーバも基幹システムも全部見える」という状態が普通でした。

しかし、あなたのアカウントやパソコンが乗っ取られた状態でVPNにつながると、攻撃者もまったく同じように社内ネットワークを歩き回れます。

• ファイルサーバ、Active Directory（社内アカウント管理）、バックアップサーバ、重要な基幹システムに到達する
• 社内ネットワークの中を移動して被害範囲を広げていく

このように、侵入後に内部を移動して攻撃範囲を広げていく動きを「横移動（ラテラルムーブメント）」と呼びます。実際の攻撃では、最初の侵入そのものよりも、その後に起きる横移動が企業を壊滅させる主因になります。

そのため、最近の設計では次のように見直す動きが増えています。

• VPNでつないでも「必要なシステムだけ」しか触れないようにする（マイクロセグメンテーション）
• 管理用の重要なサーバ（Active Directory、バックアップなど）は、一般の利用者から直接は見えない場所に隔離する
• 接続するたびに、追加の認証（多要素認証：MFA）を求める

結果として、これまでよりも「VPNにつないだ後にできること」が減ったり、認証が増えて面倒に感じる場面が出てくるかもしれません。ただし、それは**「横移動されても、一気に会社全体を壊されないため」**の不便さです。

攻撃はバックアップも対象

「バックアップがあるから大丈夫」と思いたくなりますが、実際にはそう簡単ではありません。

よくあるバックアップの置き方は、次のようなものです。

• サーバ本体に別のディスクを付けて、そこにコピーを取る
• 常につながっている外付けHDDやNASに、毎日自動バックアップする

しかしランサムウェアは、ネットワーク経由でアクセスできる場所をまとめて暗号化しようとします。最近ではバックアップサーバーを先に潰す手法が増えています。その結果、本番データとバックアップが同時に暗号化され、復旧の「最後の砦」まで失われてしまうという最悪のパターンが起きます。

これを避けるために、世界的にも推奨されているのが「3-2-1ルール」という考え方です。

• コピーを3つ以上持つ
• 2種類以上の異なる媒体（ディスクとクラウド、など）に保存する
• そのうち1つはオフラインまたは別拠点に置く

ランサムウェア対策に効果的なバックアップ方法

特にランサムウェア対策として重要なのは、次の2つです。

オフラインバックアップ（エアギャップ）

USB HDDなどにバックアップを取った後、ケーブルを抜いて物理的に切り離します。ネットワークから見えない場所にあるため、攻撃者が暗号化しようとしても届きません。

イミュータブル（変更できない）クラウドバックアップ

クラウドストレージに保存したデータに、「一定期間は削除も変更もできない」設定を付けます（Object Lockなど）。万一攻撃者がクラウドのアカウントに入っても、過去のバックアップを消したり書き換えたりできないようにします。

これは、たとえるなら**「別の場所に新品の家財一式を保管しておく保険」**のようなものです。家が荒らされても、そこから生活を立て直せるようにする、という発想です。

バックアップがあっても「復旧」は時間がかかる

アサヒグループの事例でも、バックアップが生きていたおかげで身代金を払わずに済みましたが、それでも発覚から2か月以上経っても完全復旧には至っていません。単にデータを戻すだけではなく、次のような手順が必要だからです。

1. 攻撃者がまだ中にいないか、潜伏していないか、慎重に調査する（フォレンジック）
2. すでに侵入された状態のバックアップを戻してしまえば、「復旧」と同時に再感染させることになるため、いつの時点のバックアップが安全かを見極める
3. 安全だと確認できたところから、順番にシステムを再開する（段階的復旧）
4. どのシステムを先に動かすか、業務の優先順位を決める
5. 復旧作業に必要なパスワードや手順書を、攻撃されていない場所から取り出す

そして、「実際にバックアップから戻したことがない」状態だと、いざというときに手順が分からず、復旧がさらに遅れます。そのため専門家は、「バックアップを取るだけでなく、実際に戻す訓練を定期的に行うこと」を強く勧めています。

私たち一般社員にとって大事なのは、「システムが止まったとき、自分の仕事はどこまで続けられるか」を、平常時からイメージしておくことです。紙の帳票やExcelで一時的に回すのか、どこまでが完全に止まるのか。会社としてBCP（事業継続計画）を作るとき、現場の声も重要な材料になります。

怪しいメールを「削除」ではなく「報告」する

ここまで読むと、「結局、難しい話は全部IT部門の仕事じゃないか」と感じるかもしれません。確かに、VPNの設計変更やバックアップ方式の見直しは専門チームの役割です。

ですが、私たち一人ひとりにも、できることがあります。

ランサムウェア攻撃の多くは、フィッシングメール（偽のメールで情報を盗んだり、ウイルスを送り込む手口）から始まります。怪しいメールを受け取ったとき、「自分の判断で削除」するだけでは不十分です。

• 自分だけが気づいて削除しても、他の同僚が開いてしまうかもしれません
• 変だと思ったメールは、IT部門に報告してください
• 早く気づければ、それだけ被害を小さくできます

また、次のような協力も重要です。

VPNのルール変更に協力する

「前はできた操作ができなくなった」「接続が面倒になった」と感じることがあるかもしれませんが、それは攻撃者の「横移動」を防ぎ、会社全体を守るための制限です。

パスワードや多要素認証を面倒がらない

パスワードの使い回しをやめる、多要素認証（スマホアプリでの確認など）を有効にする。こうした一つひとつの積み重ねが、「最初の侵入」を難しくします。

侵入を100%防ぐことはできませんが、「侵入される確率を下げる」ことと、「侵入されても会社が壊れないようにする」ことは、誰の行動にもつながる話です。

防御よりも「戻せる仕組み」を

最後に、イメージしやすい比喩でまとめます。

• セキュリティソフトは、泥棒に入られないための鍵です
• しかし、プロの泥棒（ランサムウェア）は鍵を壊して入ってきます
• オフラインバックアップやイミュータブルなバックアップは、家財を全て盗まれた後に生活を再建するための、別の場所に保管した新品の家財です

「感染しない」対策だけでは、現実には限界があります。「感染しても戻せる」対策をきちんと用意することが、会社の生存確率を上げ、私たちの仕事と生活を守ることにつながります。

この視点で、VPNの使い方の変化や、新しいルールを「ただの不便さ」ではなく、「会社と自分たちを守るための仕組み」として見てもらえたらうれしいです。