ランサムウェア被害で身代金を支払っても、データやシステムが元に戻るとは限らない。一般財団法人日本情報経済社会推進協会(JIPDEC)が2026年3月27日に公表した調査では、2026年1月に調査した国内企業1,107社のうち、被害経験があると答えた企業は507社だった。そのうち222社が復旧のために身代金を支払ったが、139社は支払い後もデータやシステムを復旧できなかった。
この結果が示すのは、支払いが復旧の保証ではないという現実だ。被害時に重要なのは「払うかどうか」だけではなく、支払い以外の復旧手段を持っているか、初動対応を誤らないかという点にある。
JIPDEC調査で何が分かったのか
JIPDEC の調査では、ランサムウェア感染経験があると答えた企業の割合は45.8%だった。被害企業507社のうち、222社が身代金を支払い、139社は支払い後も復旧できなかった。一方で、身代金を支払わずに復旧した企業も141社あった。
この数字だけで、支払った企業と支払わなかった企業の被害規模や復旧コストを単純比較することはできない。ただ、少なくとも言えるのは、支払いが確実な解決策ではなく、支払い以外の復旧経路も現実に存在するということだ。
JIPDEC は被害企業の復旧期間について、最も多かったのは「1週間~1か月以内」だとしている。被害額でも「100万円~5,000万円未満」が約半数を占め、1億円以上かかったとの回答も15.6%あった。ランサムウェアは一時的なシステム障害ではなく、事業継続に直結する経営リスクになっている。
支払いはなぜ復旧保証にならないのか
ランサムウェア攻撃では、ファイルを暗号化して金銭を要求するだけでなく、先にデータを盗み出してから公開をちらつかせる「二重恐喝」の手口が広がっている。警察庁も、企業の VPN 機器などの脆弱性を突いて侵入し、データを窃取したうえで公開を迫る事例を紹介している。
このため、たとえ復号のために金銭を支払っても、復号鍵が確実に渡る保証はない。仮に暗号化の解除に成功しても、持ち出された情報の流出リスクまで消えるわけではない。支払いは被害の出口ではなく、あくまで不確実な選択肢の一つにすぎない。
被害直後に優先すべき初動
警察庁は、感染が疑われたらまず端末やサーバーをネットワークから隔離し、被害の拡大を防ぐよう案内している。同時に、原因調査に必要なログが失われるおそれがあるため、機器の電源を落とさず、保存した通信ログなどを持って警察に通報・相談するよう求めている。
そのうえで、感染経路の調査、VPN 機器や OS の脆弱性対策、パスワード変更を急ぐ必要がある。被害対応は復号だけでは終わらず、再侵入の防止まで含めて進めなければならない。
平時の備えで差がつく
警察庁と IPA が共通して重視しているのが、ネットワークから切り離したオフラインバックアップの確保だ。バックアップやログまで暗号化される事例があるため、保存先を分け、取得時以外は物理的に切り離しておくことが望ましい。IPA は、保管だけでなく、実際に復旧できるかどうかを日頃から確認しておく重要性も示している。
平時の対策はバックアップだけではない。VPN 機器やソフトウェアの更新、推測されにくい認証情報への変更、多要素認証の導入、権限の最小化、ログの保全も基本になる。JIPDEC の調査では、従業員300人以上企業でも5,000人以上企業と大きく変わらない水準で被害がみられた。企業規模だけで安全性は決まらない。
問われているのは支払い判断より復旧体制だ
今回の222社という数字は、被害後の支払い判断の難しさを示すと同時に、平時の備えの差が復旧可能性を左右することも示している。ランサムウェア対策の焦点は、侵入をゼロにすることよりも、侵入されても業務を止めずに復旧できる体制を整えておくことにある。
支払っても6割超が復旧できなかったという結果は、身代金の是非だけを論じても不十分だと教えている。問われているのは、被害に遭った後の判断力ではなく、被害に遭う前にどこまで復旧準備を整えられていたかだ。
(本稿は各種公開情報をもとに作成しました。一部数値は記事掲載時点の情報です)
