Google Workspace でのランサムウェア復旧ガイド

Google Workspaceのランサムウェア復旧に関する包括的なガイドには、ある重要な逆説が必ず取り上げられています。Google Workspaceは、他のほとんどのクラウドスイートよりも多くのネイティブなランサムウェア防御機能をプラットフォームに組み込んでいますが、それゆえに、その脆弱性が見過ごされやすいのです。2026年3月現在、GoogleのAIを活用したランサムウェア検出機能およびDrive向けの一括ファイル復元機能が一般提供されています。この更新された検出モデルは、ベータ版に比べて14倍多くの感染を検知できると報告されています。しかし、これらの組み込みツールは有用かつ実用的であるものの、真のデータバックアップに取って代わるものではありません。

ランサムウェアは、防御策が強化されるのを待ってその勢いを緩めることはありません。Verizonの「2026年データ侵害調査レポート」によると、全侵害チェーンの48%にランサムウェアが確認されており、前年の44%から増加しています。Google自身の「Cloud Threat Horizons Report」では、さらに深刻な事実が明らかになりました。ランサムウェアグループは現在、まずバックアップを標的にし、復旧ポイントを削除したり、権限を変更したりして、組織が身代金を支払わずにデータを復旧できないように仕向けているのです。

この問題は、Googleの「共有責任モデル」を考慮するとさらに深刻になります。このモデルはデータの安全性を保証するものではなく、Workspaceには組み込みのバックアップ機能が一切備わっていないからです。

本ガイドでは、Google Workspaceテナントにおけるランサムウェアの脅威、ネイティブの復旧機能が実際の攻撃に対してどの程度有効か、そして独立したバックアップがどのように状況を一変させるかについて解説します。

Google Workspaceにおけるランサムウェア:その違いとは

Google Workspaceにはこの点で確かな構造上の利点があり、その理由を正確に説明しておく価値があります。Google ドキュメント、スプレッドシート、スライドは、PDF や Word 文書のようなフラットファイルではありません。これらは構造化されたデータベースに裏打ちされた文書であり、Google のサーバーからクライアント側でリアルタイムにレンダリングされます。ダウンロードされるものはなく、ランサムウェアが暗号化できるようなローカルに保存されたファイルも存在しません。Google は、Workspace のネイティブ文書はランサムウェアの影響を受けないこと、また Chrome OS ではこれまでランサムウェア攻撃が発生したことがないことを指摘しています。

問題は、その保護ゾーンの外側にあるものです。PDF、Microsoft Officeファイル、画像――これらはいずれも構造化されたWorkspaceドキュメントではありません。これらはフラットファイルであり、テナントがこれらを保持した瞬間、ランサムウェアの脅威は現実のものとなります。具体的には、ローカルで暗号化されたフラットファイルをクラウドに直接転送する「Drive for desktop」同期クライアントや、エンドポイントに触れることなくクラウド上のDriveファイルを直接変更できるOAuth接続のサードパーティ製アプリなどが挙げられます。

SaaSランサムウェアの全体像

これはもはや単なるハッキングではなく、ビジネスとなっています。最近のランサムウェアの多くは「Ransomware-as-a-Service(RaaS)」モデルで運用されています。ある者がツールを開発し、別の者がそれをレンタルして攻撃を実行し、得られた身代金を山分けするのです。だからこそ、ファイアウォールを突破する必要がないのです。盗まれた認証情報は安価に入手でき、今日の初期アクセスの79%はマルウェアを使用せず、単に有効なログイン情報を悪用しているだけなのです。攻撃者は、何もしないまま数ヶ月間テナント内に潜伏し(63%は最大6ヶ月間検出されない)、その後、データを暗号化したり、復元ポイントを削除したり、データを盗み出したりして、二重の恐喝を行います。どのプラットフォームでも同じ手口が用いられ、唯一異なるのは、それがどのテナント内で実行されているかという点だけです。

ランサムウェアがGoogle Workspaceに侵入する仕組み

Google Workspaceにおけるランサムウェアについて言えば、攻撃者が環境に侵入するための主な侵入経路は以下の4つがあります。

OAuth同意フィッシング

ユーザーがサードパーティ製アプリの権限要求に対して「許可」をクリックすると、トークンを介してDriveやGmailへの常時アクセス権が渡されてしまいます。この際、パスワードは一切使用されず、誰かが手動で取り消すまでアクセス権は有効なままとなります。

盗まれた認証情報

数年前に別のインシデントで漏洩したパスワードやアクセスキーが発見され、何の過失もないテナントに対して再利用されるケースです。上記のOAuthの悪用と合わせ、これら2つが現在、業界全体で追跡されているクラウド侵入事例の最大の割合を占めています

ソーシャルエンジニアリング

多くの場合、ボイスフィッシング(vishing)が用いられます。攻撃者が電話で従業員やITスタッフを装い、相手にパスワードのリセットや多要素認証(MFA)のプロンプトへの承認を説得します。音声によるソーシャルエンジニアリングは現在、クラウド侵入の約6分の1を占めています

フィッシングメール

依然として存在しますが、かつてのような主要な侵入経路ではなくなりました。Googleのフィルタリングをすり抜けて届く、認証情報を収集するためのリンクや悪意のある添付ファイルです。メールによるフィッシングは、クラウド侵入全体の約12%を占めており、4つの経路の中で最も割合が低い。

これらのいずれかが成功すると、Googleは攻撃者を、Gmail、Drive、共有ドライブ内を移動する正当なユーザーとして扱ってしまう。

Google Workspaceのランサムウェア復旧 – クラウド内での暗号化の拡大

暗号化は2つの経路を通じてWorkspaceに侵入します。1つ目は同期されたエンドポイントから始まります。ランサムウェアがデスクトップの「ローカルドライブ」フォルダ内のファイルを暗号化すると、同期クライアントはそれらを正当な更新として扱い、クラウドにアップロードします。そこで、それらは正常なバージョンと置き換えられ、他のデバイスに同期されます。多くの場合、ユーザーがデバイスが感染していることに気付く前に、このプロセスは完了してしまいます。

2つ目の経路はクラウド上で直接実行され、ここがWorkspaceのOAuthの脆弱性が問題となる点です。Driveファイルの変更権限を持つ悪意のあるアプリや侵害されたアプリは、APIを通じて大規模にファイルを暗号化または削除することができ、感染したエンドポイントは関与せず、エンドポイント保護も気づくことができません。大量削除や繰り返しの上書きは、暗号化と同じくらい深刻な被害をもたらす可能性があります。悪意のあるバージョンが十分に蓄積されると、バックアップの最後のクリーンなコピーが復旧可能な期間から外れてしまうからです。

ランサムウェア対策としてGoogleが実施していること

2026年、Googleのネイティブ保護機能は大幅に改善されました:

AIを活用したランサムウェア検出

デスクトップ版 Drive(Windows および macOS のみ対応)がインストールされている場合、攻撃に特徴的なファイルの破損を検知した瞬間にファイルの同期が自動的に一時停止され、ユーザーと管理者の両方にアラートが通知されます。

一括ファイル復元

デスクトップ版 Drive を通じて、ユーザーは数回のクリックで、影響を受けたファイルを Drive のバージョン履歴に保存されている直近の正常なバージョンにロールバックできます。別途バックアップを用意する必要はありません。

組み込みのスキャン機能

Drive、Gmail、Chromeでのウイルスおよびマルウェアスキャンが、上記の2つの機能を補完します。

これらを組み合わせることで、進行中の攻撃を検知し、拡散を阻止し、数回のクリックで被害を元に戻すことができます。ただし、これはDrive内でのみ有効であり、バージョン履歴の範囲内に限られます。

Google Workspaceの標準機能によるデータ保持が不十分な理由

2つの制限により、Google Workspaceは完全なバックアップ機能とは言い難い状況にあります。検出および復元機能は、サポート対象のエディションに「Drive for desktop」がインストールされている場合にのみ動作し、Gmailには適用されません。つまり、メールへの攻撃に対しては、復元できる元の状態が存在しないのです。その背景には、いずれも保存期間が限定されている「Driveのバージョン履歴」と「ゴミ箱」、そして法的審査やeDiscovery(電子証拠開示)を目的としてデータを保持する「Google Vault」があります。これらは復旧を目的としたものではなく、定期的なバックアップも自動復元機能もありません。管理者権限を持つ攻撃者は、バージョンを削除したり、保存期間を変更したり、復元ポイントを完全に空にしたりすることができ、その結果、これらのツールが頼るべきものが何も残らなくなってしまいます。

Google Workspace対応のクライム・クラウド・バックアップ・サービス

Climb Cloud Backup for Google Workspace

Climb Cloud Backup & Security

関連トピックス:
カテゴリー: セキュリティ, バックアップ タグ: , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL