復元失敗6割が示す身代金依存の限界

ランサムウェア被害の焦点は、もはや「身代金を払えば早く戻るのか」という単純な問いではありません。JIPDECが2026年1月に国内1,107社を対象に実施した調査では、感染被害を経験した507社のうち222社が身代金を支払いましたが、139社はシステムやデータを復旧できませんでした。支払った企業の約6割が復旧に失敗した計算です。

この数字は、攻撃者の復号ツールや交渉に業務継続を委ねる危うさを示しています。重要なのは、支払い判断の是非だけでなく、支払っても戻らない前提で復旧力を設計しているかです。本稿では、国内外の統計と公的機関の実務ガイダンスを基に、バックアップ、認証、初動対応、経営判断を一体で見直す論点を整理します。

支払っても戻らない企業が増える攻撃構造

国内調査が示す復旧の分岐点

JIPDECの集計では、ランサムウェア被害を経験した企業は507社でした。その内訳は、身代金を支払って復旧できた企業が83社、支払ったが復旧できなかった企業が139社、支払わず復旧できなかった企業が144社、支払わず復旧できた企業が141社です。身代金を支払った222社だけに限ると、復旧成功は37.4％、復旧失敗は62.6％になります。

注目すべきは、支払わずに復旧できた企業が141社ある点です。攻撃者との交渉ではなく、自社のバックアップや代替運用で戻せる企業は存在します。逆に、身代金を支払っても復旧できない企業では、復元不能なデータの喪失や破損、売上減少、ブランド低下、規制対応などの影響が広がっているとJIPDECは分析しています。

復旧期間にも差が出ています。JIPDECのプレスリリースによれば、被害後のシステム復旧期間で最も多かったのは「1週間から1カ月以内」の34.7％でした。一方で、身代金を支払わず自力で1カ月以内に復旧した企業が6割を超える一方、長期間作業しても復旧できず作業を終えた企業もありました。復旧の速度は、支払い有無よりも、事前の復旧設計と実行体制に左右されます。

業種別では製造業の感染率が57.1％と高く、情報通信も50.0％に達しました。従業員50～299人規模でも感染率は37.0％であり、攻撃対象は大企業に限られません。IPAの「情報セキュリティ10大脅威2026」でも、組織向け脅威の1位にランサム攻撃による被害が置かれ、RaaSや認証情報売買を通じた攻撃の広がりが示されています。

二重恐喝が復旧判断を複雑化

復旧失敗の背景には、暗号化だけでなく、データ窃取を組み合わせる二重恐喝の常態化があります。警察庁の令和7年版警察白書によると、令和6年中のランサムウェア被害報告は222件で、対価要求の手口を確認した134件のうち111件、82.8％がダブルエクストーションでした。データを戻すかどうかとは別に、盗まれた情報を公開すると脅す構図です。

この手口では、仮に復号鍵を受け取って業務システムを再開できても、情報漏えい対応や顧客説明、監督官庁への報告、取引先との契約対応は残ります。攻撃者は「復号」と「非公開」を別々の交渉材料にし、追加支払いを求めることもあります。したがって、身代金を払うことは復旧策ではなく、信頼できない外部主体への依存を増やす経営判断になり得ます。

海外統計も同じ方向を示しています。Sophosの2025年調査では、ランサム被害を受けた3,400組織のうち、暗号化されたデータを回復できた組織は97％でしたが、バックアップを使った復旧は54％と6年で最低でした。一方、身代金を支払ってデータを取り戻した割合は49％です。復旧できたという結果の裏側でも、バックアップの利用率低下は懸念材料です。

Veeamの2025年調査では、攻撃を受けた組織のうち、90％超のデータを回復できたのは10％にとどまり、57％は回復できたデータが50％未満でした。これは、復号鍵の有無だけでは事業復旧にならないことを示します。データの整合性、アプリケーション依存関係、認証基盤、ネットワーク分離、復旧順序まで含めて初めて、業務は再開できます。

攻撃者経済の変化と支払い率低下

支払い率が下がっているからといって、脅威が弱まったわけではありません。Chainalysisの2026年Crypto Crime Reportは、2025年のランサムウェア被害主張件数が前年比50％増えた一方、身代金が支払われた割合は過去最低水準の28％に達した可能性があると分析しています。同時に、支払い額の中央値は2024年の12,738ドルから2025年の59,556ドルへ368％上昇しました。

これは、攻撃者が「より多くの組織に広く仕掛ける」方向と、「払う企業からは高く取る」方向を併用していることを意味します。支払い拒否の広がりは望ましい変化ですが、攻撃者はデータ窃取、法的圧力、顧客への直接連絡、リークサイト掲載など、別の圧力手段に移ります。復旧力が低い企業ほど、最後に高額な交渉へ追い込まれます。

FBIの2025年IC3年次報告でも、ランサムウェアは重要インフラ組織を狙う主要なサイバー脅威とされています。2025年にIC3へ報告されたランサムウェア苦情は3,600件超、損失額は3,200万ドル超でした。ただしFBIは、この損失額には逸失利益、時間、賃金、ファイル、機器、第三者の復旧サービスなどが通常含まれず、過小評価になり得ると説明しています。

復旧力を決めるバックアップと初動対応の設計

バックアップは存在より復元可能性

ランサムウェア対策で「バックアップを取っている」という説明は不十分です。NCSCは、ランサムウェアが支払い可能性を高めるためにバックアップを積極的に狙うとして、ネットワークや本番システムから分離されたオフラインバックアップ、クラウド上の過去バージョン保護、復旧前のクリーンな端末接続を求めています。つながっているバックアップは、攻撃者にとって本番データの延長です。

JPCERT/CCも、侵入型ランサムウェア攻撃の初動対応で「攻撃者の要求には応じず、バックアップから復旧する」方針を示しています。同時に、暗号化されたファイルは通常復号が困難であり、バックアップが残されていないファイルは復旧困難と想定する必要があるとしています。つまり、復旧の主戦場は感染後の交渉ではなく、感染前の設計です。

実務上は、3つの観点が必要です。第一に、業務上重要なデータとシステムを分類し、復旧優先順位を決めることです。販売、製造、物流、会計、ID基盤、メール、顧客対応など、どれを何時間以内に戻すかを経営が合意しておく必要があります。第二に、バックアップを改ざん不能または削除困難にし、管理者認証も本番環境と分離することです。第三に、年1回の机上訓練ではなく、実際に復元して整合性を確認することです。

Veeamは2025年調査で、被害企業の98％がランサムウェア対応プレイブックを持っていた一方、バックアップ検証や頻度を明記していた組織は44％、指揮命令系統を事前定義していた組織は30％にとどまったとしています。プレイブックの有無ではなく、誰が停止を決め、誰が復旧順序を承認し、どの証跡を保全するかまで書かれているかが差になります。

初動で避けるべき再感染リスク

被害後に最も危険なのは、急いで業務を戻す過程で攻撃者の足場を残したまま復旧することです。Veeamの2024年調査では、ランサムウェア攻撃や重大なIT災害からの復旧時、約3分の2にあたる63％の組織が感染を再導入するリスクを抱えているとされました。経営陣から早期復旧を迫られ、隔離や再スキャンなどの手順が省略されるためです。

警察庁も、ランサムウェア被害時には保存した通信ログを持参して通報・相談すること、感染原因を調査すること、感染が確認されていない端末やサーバも含めて調査することを推奨しています。これは、暗号化された端末だけを初期化しても、侵入口となったVPN機器、認証情報、リモート管理ツール、ドメイン管理者権限が残れば、再侵入されるからです。

初動対応では、停止と保全のバランスが難しくなります。すぐに全電源を落とせば暗号化拡大を防げる可能性はありますが、揮発性メモリや通信状況などの証拠を失う場合があります。逆に証拠保全を優先しすぎれば、被害が横展開する可能性があります。したがって、EDRやログ基盤、ネットワーク分離、委託先の緊急連絡先、法務と広報の判断基準を平時に接続しておく必要があります。

また、復号ツールが存在する場合でも万能ではありません。IPAはNo More Ransomプロジェクトの国内サポーティングパートナーとして復号ツール活用支援を行っています。警察庁もLockBitやPhobos、8Baseに関する復号ツールの情報を案内しています。ただし、これらは特定のランサムウェアや条件に限られる救済策です。復号ツールを「最後の望み」として探すことは重要ですが、経営の復旧計画そのものにはできません。

技術投資と組織判断の接続

ランサムウェア対策は、セキュリティ部門だけの技術課題ではありません。JIPDECの分析では、サイバーセキュリティ対策や情報漏えい対策への投資は広がっていますが、ランサムウェア被害は約2社に1社が経験する経営リスクになっています。DXが進むほど、業務停止はデジタル基盤全体の停止になり、復旧の遅れは売上、供給責任、顧客対応に直結します。

AIやSaaSの導入が進む企業では、ID基盤とAPI連携が復旧の要になります。攻撃者は本番サーバだけでなく、管理者アカウント、クラウドストレージ、バックアップ管理コンソール、CI-CD環境、RMMツールを狙います。単にファイルサーバを戻すだけでは、業務は再開しません。どのSaaSを止め、どの認証情報を失効し、どの外部連携を再承認するかを決める必要があります。

ここで重要なのは、CISOや情報システム部門だけに「払うか払わないか」を押し付けないことです。支払いは制裁対象、個人情報保護、取締役の善管注意義務、サイバー保険、反社会的勢力対応、開示規制に関わる判断です。取締役会や危機対策本部が、法務、財務、広報、事業部門、外部専門家を含めて意思決定できる体制を持っていなければ、攻撃者の期限設定に振り回されます。

二重恐喝時代に求められる経営リスク管理

復旧力を高めても、すべての被害をゼロにはできません。むしろ、経営者が理解すべきは、バックアップは暗号化被害には効いても、窃取されたデータの公開脅迫には直接効かないという点です。NCSCも、ランサムウェア耐性のあるバックアップ原則は破壊的攻撃の影響緩和に焦点を当てており、データ窃取による恐喝には別途、機密データを保持する他のシステムと同様のアクセス保護が必要だとしています。

そのため、次の投資対象はバックアップだけではありません。最小権限、MFA、端末健全性確認、脆弱性管理、メール認証、EDR、ログの長期保管、DLP、暗号化、データ分類が一体になります。Sophosの2025年調査では、攻撃の技術的根本原因として悪用された脆弱性が32％で最多、侵害された認証情報が23％、悪意あるメールが19％、フィッシングが18％でした。侵入口を減らす投資と、侵入後の検知投資は切り離せません。

一方で、リークサイト情報には過剰反応も禁物です。JPCERT/CCの2026年1～3月期レポートでは、0aptとされるランサムウェアグループが日本企業を含む約200件の侵害主張を一挙に掲載した事案について、実在しない組織名や技術的証拠の欠如から信憑性は低いと評価しています。公開された主張だけで支払いに傾くのではなく、証拠確認、影響範囲の特定、関係者への説明順序を冷静に進める体制が欠かせません。

規制面でも支払い依存は難しくなります。Veeamは、各国で身代金支払いを抑制する政策や法的リスクが強まっていると指摘しています。支払いが禁止されていなくても、制裁対象への送金や反社会的勢力への利益供与に当たるリスクがあります。企業は「払えば短期的に楽になる」という仮説ではなく、「払っても戻らず、さらに説明責任が増える」可能性を前提に、取締役会レベルで基準を持つべきです。

経営者が今期見直す復旧力の優先順位

ランサムウェア対策の優先順位は明確です。第一に、重要業務ごとの復旧目標を決め、バックアップから実際に戻せるかを検証することです。第二に、バックアップ管理権限を本番環境から分離し、削除や暗号化に耐える構成へ移すことです。第三に、侵入経路を塞ぐため、脆弱性管理、MFA、特権ID管理、メール対策を標準業務に組み込むことです。

第四に、被害発生時の意思決定を訓練することです。誰がシステム停止を判断し、誰が警察やJPCERT/CC、保険会社、取引先へ連絡し、誰が顧客説明を承認するのかを事前に決めておく必要があります。第五に、身代金を払わない原則を掲げるだけでなく、払わなくても事業を続ける代替手段を持つことです。

JIPDEC調査の「222社中139社が復旧失敗」という数字は、企業に悲観を促すものではありません。支払いに頼らず復旧した141社があることは、備えが結果を分けることも示しています。ランサムウェア対策は、保険やセキュリティ製品の購入だけでは完結しません。復旧を経営プロセスとして設計し、実地訓練で弱点を潰す企業ほど、攻撃者の時間制限と脅迫から距離を置けます。

参考資料:

• JIPDEC「ランサムウェア感染被害経験は45%、中小企業もランサムウェア被害の対象に」
• JIPDEC「企業IT利活用動向調査2026」集計結果分析レポート
• JIPDEC「企業IT利活用動向調査2026」集計結果
• IPA ランサムウェア対策特設ページ
• IPA 情報セキュリティ10大脅威2026 組織編
• 警察庁 令和7年版警察白書 ランサムウェアの情勢
• 警察庁 ランサムウェア被害防止対策
• JPCERT/CC 侵入型ランサムウェア攻撃を受けたら読むFAQ
• NCSC Ransomware-resistant backups
• NCSC Mitigating malware and ransomware attacks
• Sophos Nearly Half of Companies Opt to Pay the Ransom
• Sophos The State of Ransomware 2025
• Veeam 2025 Ransomware Trends and Proactive Strategies
• Chainalysis Crypto Ransomware: 2026 Crypto Crime Report
• FBI 2025 IC3 Annual Report