2025年10月に発表されたHiscoxの「Cyber Readiness Report 2025」は、英米欧7か国の中小企業5,750社を対象に直近12か月の実態を調査し、59%が何らかのサイバー攻撃を受けたと報告しています。とりわけランサムウェアは27%が被害に遭い、身代金を支払っても完全復旧は保証されないという厳しい結果が示されました。多くの企業は投資を増やし、訓練や点検を強化していますが、攻撃の質はAIの普及で一段と高度化しています。
身代金を支払ってもデータは復旧しない
調査で最も重い結果は、身代金を払ってもデータが戻らないケースが少なくないことです。
ランサムウェア被害の経験がある企業のうち、約80%が最終的に支払いに応じた一方、復旧できたのは60%にとどまりました。
さらに支払い後に追加の支払いを再要求される事例も確認されており、攻撃者側がバックドアや奪取データを担保に交渉を長期化させる構図が見て取れます。
海外では過去、身代金の支払いもサイバー保険に該当する場合もあり被害企業が実際に身代金を支払って攻撃を回避しようとすることもありました。
なお、2025年では海外でも身代金支払いへの保険適用は除外され始めており、今後身代金の支払いは世間からの風当たりがより強くなると予想されます。
また過去からも日本企業がランサムウェアグループへ身代金を支払うことについては犯罪者への利益供与に該当するとされており、現段階では違法性が指摘されています。
データを人質にした新しい揺さぶり
ランサムウェアグループは暗号化一辺倒ではなく、機密データの窃取と暴露脅迫が主戦場になっています。
狙われるのは役員メールや財務情報、契約書といった評判に直結する情報で、攻撃者は「公開された場合の打撃度合い」に応じて金額を吊り上げます。
DLPや持ち出し監視を導入済みの企業でも、実際にはデータ所在の棚卸し不足や権限の粗さが残っているため、思ったよりも簡単に抜かれる、というのがレポートの指摘です。保有しない、置かない、見せない——このデータ最小化の基本を怠るほど、金額と交渉期間は膨らみます。
身代金支払いにも透明性は必要?
71%の回答企業が、身代金の支払い有無や金額の開示に賛成しています。
投資家・取引先・顧客への説明責任に加え、地下経済への資金流入を抑止する効果を期待する声が強いためです。
ただ、捜査や訴訟の利害が絡む場面では即時全面公開が難しいことも多く、誰が・いつ・どの条件で支払わない方針を決めるのか、規制当局や保険会社に何分以内に連絡するのかといった実務を分単位の手順で定義しておく必要があります。
生成AIが広げる攻撃面と現場の向き合い方
回答の65%がAIを「機会」と捉える一方で、ディープフェイクや外部AIアプリの脆弱性を突かれたインシデントを経験した企業も少なくありません。
巧妙化した音声・映像・文体のなりすましは、従来の検知の勘所を外してきます。
対抗するには、AI利用ポリシーを文字通り運用可能な形に落とし込み、機密区分ごとの持ち出し可否、プロンプト/出力のログ、モデル更新の審査をルール化することが近道です。守りでもAIを活用し、EDR/XDRやメール防御の誤検知率や検知遅延の定量改善を追う姿勢が求められます。
出典








