それ、レプリケーションでよろしく。UDPともども。

■ 単なる“巻き込み”か、それとも“意図的な排除”か

ファイルサーバと同じ環境にバックアップがあれば、他のデータと一緒に暗号化される「巻き込み」の側面は確かに存在します。

しかし、以下の挙動は単なる巻き込みでは説明がつきません。

• バックアップデータのピンポイントな削除

• スナップショットの消去

• 世代管理そのものの破壊

• 管理コンソールの操作

これらは明らかに「復旧手段そのものを物理的・論理的に無効化する」ための操作です。

■ 「暗号化」と「復旧拒否」の決定的な違い

ここで整理しておきたいのは、攻撃者にとって暗号化は「手段」の一つに過ぎず、真の目的は「復旧拒否（Recovery Denial）」にあるという点です。

• 一般のファイルに対しては「暗号化」： データを読み取れなくすることで、日常業務を人質に取る。

• バックアップに対しては「復旧拒否（Recovery Denial）」： データそのものを削除したり、管理システムを破壊したりすることで、自力で立ち直る手段そのものを喪失させる。

つまり、攻撃者は単に「データを読めなくしている」だけではありません。「バックアップがあるから身代金は払わない」という企業の抵抗手段をあらかじめ摘み取っておくこと、それこそが彼らの狙いなのです。

■ 「ある」から「最後まで使える」バックアップへ

これからの設計において、「バックアップを取っているから大丈夫」という前提は通用しなくなっています。攻撃者のプロセスを前提にするならば、以下の対策が不可欠です。

• オフライン化（エアギャップ）： ネットワークから切り離し、物理的に触れさせない。

• イミュータブル（不変）化： 万が一触れられても、削除や改ざんを不可能にする。

• 認証・ネットワークの分離： 管理基盤の権限が奪われても、バックアップ領域には到達させない。

これらに共通するのは、「攻撃者から操作されることを前提に、無効化されない設計にする」という考え方です。

■ まとめ

バックアップの役割は、今や「取ること」から「残すこと」へと変わりつつあります。
ここでいう「残す」とは、攻撃者から見えず、触れず、無効化できない状態で存在し続けることです。

バックアップは、もはや「あるかどうか」ではなく、「攻撃のプロセスを耐え抜き、復旧の選択肢を死守し続けられるか」という、企業のレジリエンス（回復力）そのものを問う存在になっています。

■ 参考情報

[1] CISA: Ransomware Guide（英語版） https://www.cisa.gov/stopransomware/ransomware-guide

「ランサムウェアは、アクセス可能なバックアップを見つけ出し、削除または暗号化しようとします。そのため、バックアップをネットワークから隔離し、攻撃者が到達できないようにすることが不可欠です。」（CISAガイドの内容を要約）

[2] Mandiant: M-Trends 2026（日本語版） M-Trends 2026: 最前線のデータ、分析、戦略情報のまとめ

攻撃者がドメイン管理者権限を悪用し、いかにしてインフラ全体を掌握し、バックアップを含む復旧手段を「復旧拒否（Recovery Denial）」するかの最新分析がまとめられています。
（なお、当資料中では「ランサムウェアが復旧妨害型へと進化」と表現）

※ Mandiant: M-Trends 2026（英語版フルレポート） M-Trends 2026: Data, Insights, and Strategies From the Frontlines

攻撃者がネットワーク内を探索し、管理基盤を経由してバックアップ領域へ到達するまでの具体的なプロセスが、詳細に解説されています。

＋＋＋

以上、Koichiがお伝えしました。