素朴な疑問：ランサム復旧が長期化するワケ(434号）

9/29に発生したアサヒグループホールディングス（以下、アサヒグループ）のランサムウェア被害ですが、これを書いている11月末現在でも復旧していません。

実際、11/27には記者会見を行い、以下のリリースを発表しています。

　サイバー攻撃による情報漏えいに関する調査結果と今後の対応について
　https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html

どうして、こんなにも復旧に時間がかかるのでしょうか？

バックアップがない？アサヒグループの体制がボロい？いえいえ、そんな単純な話ではないのです。


1. バックアップがない、はずがない

大企業でランサムウェア被害を受けた場合、復旧に数ヶ月かかることはザラです。

「バックアップ取ってなかったんじゃないか？」とか「バックアップも壊されちゃったの？」「情報システム部はバカの集団か？」などと考えがちですが、実際にはもっともっと複雑です。

アサヒグループにしてもアスクルにしても、あれほどの規模の会社がバックアップを取っていないはずがありませんし、情報システム部はランサムウェア対策にも十分な注意を払っていたはずです。

にも関わらず、攻撃を受け、復旧は道半ば、な状態です。


2. 復旧作業は、はるかなる道

おおざっぱに言って、ランサムウェアからの復旧には、以下のような課題を解消しなくてはなりません。

　1. データ復旧
　　 →暗号化データの復旧だけでなく、整合性チェックも必要

　2. 再発防止
　　 →どこから侵入されたのか？を調査し、他の弱点もつぶす

　3. 人と組織
　　 →意思決定、外部連携をスピード感をもって進める

　4. 安全宣言
　　 →何をもって安全と言うのか？非存在の証明は難しい

この４つの視点は、どれも深いテーマなのですが、今回はこの４つを簡単に解説します。
次回以降には、この４点をもう少し解きほぐしていきたいと思います。


3. 課題その1：データ復旧

暗号化されたデータをいかに戻すか。
これだけを聞きますと、何らかのバックアップが残っていれば、戻すだけで済みそうに思います。

小規模な事業所なら、システムもシンプルですから、復旧できるケースがあります。

ですが、大企業になると、そうもいきません。
規模が大きくなると、たくさんのシステムが連携しながら動くことになります。
営業所、工場、倉庫、研究所、それぞれが数十のシステムを持っているはずです。
アサヒグループやアスクルであれば、その総数は数百システムにもなり、連携しながら動いていたことでしょう。

それぞれにバックアップはあっても、各システムがそれぞれの最新に戻すとまるで整合が取れなくなってしまいます。
つまり、こちらのシステムでは在庫が残っていると主張し、別のシステムでは、それは出荷済だ、と言いだします。
そのような矛盾したデータを与えられた各システムはパニックです。
誤動作も起きますし、システムダウンに至っても不思議はありません。

このデータ矛盾の問題以外にも「ホントにバックアップもヤラれたシステムがある場合」とか、「暗号化はされてないけど、改ざんされてるかも...」とか、考えないといけないことは山ほどあります。

これだけでもうんざりするほどの作業量になります。


4. 課題その2：再発防止

データを完全復旧できる目途が立ったとします。
では、業務再開してもＯＫでしょうか？

いえいえ、ランサムウェアに限らず、サイバー攻撃対策は、ここからが大変なのです。

そもそも、全てを元通りで再起動させますと、同じサイバー攻撃を受ける可能性が高いです。というか、まず間違いなくヤラれます。
実際に再侵入された組織はいくらでもあります。

ですから、攻撃がどこからどんな手段で行われたか、を精密に調査し穴を確実に塞ぐことが絶対に必要です。

ところが、これが実に大変な作業なのです。
攻撃側は、攻撃の痕跡を残さないように、できるかぎりを削除します。

社内に多数のパソコン、ネットワーク機器、サーバがある場合、そもそもどこから侵入したのかを調べるのも大変です。
怪しそうな機器から順に調べるわけですが、最終的には“ほぼ全部”を確認せざるを得ません。
その調査（フォレンジック）には高度な専門知識が必要で、技術者も少なく、台数が多いとうんざりするほどの時間がかかります。
（ちなみに筆者にはフォレンジックの技術はありません）

また、実際の侵入路以外にも、他の弱点がないかの調査も欠かせません。
弱点が見つかれば対策が必要です。機器の調達やネットワーク構成の見直しが必要な場合もあります。これにも本来の復旧とは別の大規模な作業が発生します。

これもまた、復旧を長期化させる大きな要因です。


5. 課題その3：人と組織

サイバー攻撃とは直接関係なさそうな話ですが、実はここが企業にとって一番辛い部分かもしれません。

こういった大規模攻撃になると、会社にとっては経営陣はもちろん、全社員が強制的に巻き込まれる、全社イベントになります。

例えば、決算発表の遅延。
アサヒグループが実際に遅延していますが、その説明は経営陣の責務ですし、顧客への納期遅れや機会損失に対する保障、同業他社への協力要請、などもトップの仕事です。

社内でも大きなお金が動きます。
専門会社への調査依頼、システムが動かないための代替業務の構築、IT対策の費用、大巾な残業増での労務管理や健康管理。
組織のあらゆる部署に強烈な負荷をかけます。

ITとは直接関係ない人も影響を受け、組織全体が強いストレスを受けることとなります。


6. 課題その4：安全宣言

全ての対策が無事終わったとして、最後の難関が安全宣言です。

被害を受けたわけですから、当然その対策を行うのですが、どこまでやれば安全かって正直言って「神のみぞ知る」世界です。

それでも、被害を受けた組織は、対外的にも、内部的にも「もう、ウチは大丈夫です」と宣言しなくてはなりません。

取引先や行政から「大丈夫なの？おたくを信頼していいの？」と質問されて、「さあ、多分大丈夫ちゃいますか？」とは言えませんからね。

だからといって、何の根拠もなく「大丈夫です」と無責任なことも言えません。
それでも裏付けは必要です。

となると、どこまで守れる体制にしている、そのためにどれだけのコストをかけている、と説明しなければなりません。
でも、その線引きは、上述のとおり「神のみぞ知る」なのですが、それでもトップが決めるしかありません。

トップは常に孤独、と言われますが、この安全宣言についても例外ではありません。


7. まとめ

2025年9月末から続いているアサヒグループのランサムウェアからの復旧作業ですが、これを書いている2025年11月末の時点でも完全復旧には至っていません。

アサヒグループもアスクルも必死の対応を今も続けておられると思います。
一日も早い復旧を願うばかりです。

今回は、これほど長期化する理由が、データ復旧以外にもいろいろとあることをお話しました。
次回は、今回の内容をもう少し詳しくお話します。

今回お話したこと：
　・ランサムウェアからの復旧には以下の４つの視点での作業が必要です。
　　データ復旧、再発防止、人と組織、安全宣言。
　　→だから時間がかかるのです。
　・ランサムウェアはIT部門だけの問題ではありません。
　　→組織全体にストレスを与え、企業活動そのものに影響します。

（本稿は 2025年12月に作成しました）