ランサムウェア「身代金支払い 43.8%」を鵜呑みにしてはいけない数字の死角と払わずに復旧できる組織になるには|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月21日更新日時: 2026年04月21日

一般財団法人日本情報経済社会推進協会（JIPDEC）が2026年3月27日に公表した『企業IT利活用動向調査2026』は、国内のランサムウェア被害の実態として、感染経験率45.8%、身代金支払い率43.8%という数字を示しました。2024年調査の57.0%から3年連続の低下として報道され、「払わない企業が増えている」というトレンドとして広く伝わっています（JIPDECプレスリリース2026年3月27日より）。

しかし、この数字を前提に「日本企業の対応は改善している」と結論づけるのは早計です。調査の設計と日本特有の社会的・制度的文脈を重ね合わせると、報告された数字には少なくとも6つの構造的な死角が存在することが見えてきます。さらに根本的な問いとして、そもそも「払ったか払わなかったか」という議論よりも重要なことがあります。払わずに復旧できる組織になれているかどうかです。

本稿では、数字への批判的な読み方と、実務的にどうすればいいかを解説します

1 「43.8%」に潜む構造的な死角
2 被害を隠したまま収拾した企業の存在
3 より重要な問い——攻撃者の種類と「払わずに復旧できる組織か」
- 3.1 ランサムウェア攻撃者は均質ではない
4 「払うべきか否か」より「払わずに復旧できるか」
5 まとめ
6 よくある質問（FAQ）
7 参考情報

「43.8%」に潜む構造的な死角

支払ったと正直に答えられる環境か—回答バイアスの問題

身代金を支払ったと回答することには、匿名アンケートであっても組織的なコストが伴います。

ランサムウェアグループの多くはロシアや北朝鮮など制裁対象国を拠点としています。米国財務省外国資産管理局（OFAC）の制裁対象グループへの支払いは制裁違反のリスクを持ち、日本企業も完全には無縁ではありません。

加えて、「反社会的勢力への利益供与」という日本社会固有の倫理的批判、株主・取引先への説明責任、「セキュリティが脆弱な企業」というレピュテーション毀損——これらすべてが「支払った」と回答することへの心理的・組織的ブレーキとして働きます。

日経クロステックとプルーフポイントの15カ国比較調査では、日本の身代金支払い率は2021年から2023年にかけて3年連続で調査対象国中最低でした。この傾向は文化・法律・商習慣の複合的な要因に根ざしており、「支払ったと言いにくい」という日本特有の文脈が数字の押し下げに働いている可能性を無視できません。

実態の支払い率が43.8%を上回っているのか下回っているのか、現行の調査設計では判断できません。ただし、「43.8%という数字がそのまま実態を反映している」と考える事はできません。

【関連記事】2026年ランサムウェアの事例—国内・海外の最新被害を解説

「感染経験あり45.8%」は何を意味するのか——定義の曖昧さ

感染率の数字も精査なしに受け取ることは危険です。

テスト環境の端末1台が感染し即座に隔離・駆除されたケースと、基幹システム全体が壊滅して業務停止が数週間に及んだケースは、被害の性質がまったく異なります。しかし、回答者の解釈次第では両方が同一の「感染経験あり」に分類されます。「感染を検知したが被害なく封じ込めた」という事例が含まれているならば、深刻なインシデントに限定した感染率は45.8%より低い可能性があります。逆に、把握できていない感染が存在するならば実態はより高い可能性もあります。

件数のカウントが被害の質・深刻度を問わない設計になっている点は、調査を読む上での重要な留保です。

「復旧できた」は本当に復旧できたのか——成功の定義問題

「身代金を支払わずに復旧できた企業が6割超」という数字も、「復旧」が何を意味するのかによって解釈が変わります。

基幹システムの一部を再起動して業務を部分的に再開した状態を「復旧」と報告したケース、バックアップ時点以前のデータを失ったまま「復旧」と報告したケース、Europol主導のNo More Ransom Projectの無償復号ツールを利用して復号したケース——これらはすべて「復旧成功」に分類されうる一方、完全な業務データの回復という意味での「真の復旧」ではない可能性があります。

また、「払わなかったから復旧できた」のか、「もともとバックアップが整備されていたから払わずに済んだ」のかは、調査設計だけでは判断できません。因果の方向性が逆である可能性があります。

二重・三重恐喝での複数回支払いはどう計上されるのか

現代のランサムウェア攻撃の多くは、単一の身代金要求では終わりません。暗号化解除への支払い、盗取データの非公開への支払い、DDoS攻撃停止への支払い——これらは同一の攻撃から派生しながら別々の交渉・支払いとして発生します。

「身代金を支払ったか否か」というバイナリな質問設計では、複数回の支払いが1件として計上される可能性があります。

また、暗号化解除の要求には応じなかったが、データ公開を止めるための支払いには応じた場合、回答者が「支払わなかった」と認識する可能性もあります。二重・三重恐喝の実態が調査に適切に捕捉されているかは不透明です。

被害を隠したまま収拾した企業の存在

ランサムウェア被害の公表には、個人情報保護委員会への報告義務や株主・取引先への説明責任が伴います。しかし、データ流出が確認されていないと判断した場合、非公表のまま事態を収拾した企業も相当数存在するとみられます。

こうした企業が調査に回答した場合、「被害経験なし」あるいは「被害はあったが軽微」と回答する可能性があります。実態として金銭を支払いながら、それを申告しないケースも含まれうるという点で、被害の全体像は調査よりも複雑です。

より重要な問い——攻撃者の種類と「払わずに復旧できる組織か」

数字への懐疑と同じくらい、あるいはそれ以上に重要な視点があります。それは、そもそも攻撃者の種類によって支払いの合理性がまったく異なるという事実と、払わずに復旧できる組織になれているかという問いです。

ランサムウェア攻撃者は均質ではない

「身代金を払えば復旧できる」という前提は、攻撃者が誰かによって根本から崩れます。

現在のランサムウェア攻撃の主流はRaaS（Ransomware-as-a-Service）モデルです。LockBit・Qilin・Everest・INC Ransomwareといったオペレーターが、アフィリエイトと呼ばれる実行犯にツールを貸し出し、獲得した身代金を山分けするビジネスモデルです（Sophos・CrowdStrike等の調査より）。

問題は実行犯であるアフィリエイトの質です。RaaSの普及により、技術スキルがほぼない攻撃者でも月額数十ドル程度でランサムウェアを調達して攻撃を実行できる状況になっています（IBM調査より）。こうした攻撃者は暗号化プロセスにバグを抱えたまま攻撃しているケースが多く、復号キー自体が存在しないという事態が多発しています。支払いを完了させても技術的に復旧が不可能なケースが生じるのはこのためです。

また、北朝鮮を拠点とするLazarus Groupや、ロシア政府との関係が指摘されるグループによる攻撃では、金銭の獲得と同時に機密情報の窃取が目的であるケースが複数確認されています（米国防総省・FBI勧告より）。こうした国家支援型グループが関与している場合、身代金を支払っても情報はすでに持ち出されており、復号への動機が薄い可能性があります。

さらに2026年3月、米司法当局はランサムウェア被害企業を支援する立場にあったインシデント対応交渉担当者が、逆にALPHV（BlackCat）側の共謀者として交渉情報を流し、身代金の最大化に加担していたとする訴追文書を公開しました。被害者側に立っているはずの交渉人が攻撃者と内通していた事例は、外部委託先の選定と監視がいかに重要かを示しています。

「払うべきか否か」より「払わずに復旧できるか」

JIPDECの調査で最も示唆的なデータは支払い率ではなく、身代金を支払っても復旧に失敗した割合が25.6%にのぼるという事実です（JIPDECアナリストレポート2026年版より）。4社に1社以上が支払いながら復旧できていません。

一方で、身代金を支払わずに1か月以内に自力復旧した企業が6割を超えています。このデータが示す真の問いは「払うべきか否か」ではなく、払わずに復旧できる状態にあるかという問いです。

この問いに答えるために情報システム部門・セキュリティ担当者が確認すべきことは、以下の3点に集約されます。

バックアップは隔離されているか

ネットワーク接続されたバックアップは、ランサムウェアによって同時に暗号化されるリスクがあります。オフラインバックアップ、またはイミュータブル（書き換え不能）なクラウドストレージへの保全が機能しているかを確認してください。また、バックアップから実際に復旧できるかを定期的に訓練していない組織は、有事に「バックアップがあっても復旧できない」という事態に直面します。

復旧手順はBCPとして文書化されているか

インシデント発生後の混乱状態で「担当者の頭の中にある手順」は機能しません。誰が何をどの順番で行うかが文書化され、関係者に共有されているかが問われます。特に、外部の専門機関・弁護士・警察への連絡手順と役割分担が事前に合意されていることが重要です。

どのグループが攻撃者かを特定するプロセスがあるか

身代金支払いを検討する場面になった際、攻撃者のグループを特定できているかどうかが判断の根拠になります。ランサムウェアの種類・身代金要求メモのフォーマット・使用されたC2インフラのIOC——これらの情報から過去の事例でそのグループが「支払い後に復号したか」「二重恐喝を行ったか」「国家関与が疑われるか」を照合することが、最低限の根拠となります。これを行わずに支払いを判断することは、復旧の見込みを無視した賭けです。

まとめ

JIPDECの調査は、日本のランサムウェア被害の規模と傾向を把握するための重要な資料です。しかし、報告された数字には回答バイアス・定義の曖昧さ・サンプルの偏り・複数回支払いの計上問題・非公表ケースの除外という構造的な限界があります。「支払い率43.8%」という数字を所与の前提として政策や対策を設計することは危険です。

さらに本質的な問題は、支払い率の高低よりも、攻撃者の種類によって支払いの合理性がゼロになるケースが存在すること、そして払っても復旧できない現実が25.6%存在することです。

経営層・情報システム部門・セキュリティ担当者が問うべきことは「うちは払うか払わないか」ではなく、「払わずに復旧できる組織になっているか」という問いです。その答えは調査の数字の中にはなく、自組織のバックアップ・BCP・インシデント対応訓練の状態にあります。

よくある質問（FAQ）

Q. JIPDECの調査は信頼できないということですか？
そういうわけではありません。調査として一定の規模と継続性を持ち、トレンドの把握には有益です。ただし、回答バイアスや定義の曖昧さという構造的な限界があるため、数字を絶対的な事実として扱うのではなく、参考指標として読むことが適切です。複数の調査・事例・自組織のインシデント履歴と組み合わせて判断することを推奨します。

Q. 身代金は絶対に支払うべきではないのですか？
一概に「絶対NG」とは言い切れませんが、支払いが復旧を保証しないこと、攻撃者の種類によっては支払いが無意味であること、制裁対象グループへの支払いが法的リスクを伴うことは、判断前に必ず確認すべき事項です。警察庁・IPAは一貫して「支払わないこと」を推奨しており、この方針が実務上の基準となっています。

Q. 攻撃者のグループを特定する方法はありますか？
ランサムウェアの種類・身代金要求メモ（ランサムノート）のフォーマットと文体・使用されたファイル拡張子・C2サーバーのIOC（侵害指標）などから、外部の専門機関と連携して特定を試みることができます。ID Ransomware（無償サービス）に暗号化ファイルや身代金メモをアップロードするだけでグループを絞り込める場合もあります。特定できたグループの過去の行動実績（支払い後の復号履歴・二重恐喝の有無）をCISA・FBIの勧告や専門機関のレポートで照合することが有効です。

Q. 「払わずに復旧できる組織」になるために最初に何をすべきですか？
最も即効性が高いのは、オフラインまたはイミュータブルなバックアップの整備と、そこからの復旧訓練です。バックアップが存在しても実際に復旧できないという組織が多いため、訓練の実施が不可欠です。次に、インシデント発生後の連絡・判断・対応の手順をBCPとして文書化し、関係者に共有することです。この2点が整備されていれば、多くのランサムウェア攻撃に対して「払わずに復旧」という選択肢が現実的になります。

Q. 製造業が特に被害を受けやすいのはなぜですか？
JIPDECの調査では製造業の感染率が57.1%と突出して高くなっています。製造業では業務停止が即座に生産・出荷への影響に直結するため、「早期復旧のために払う」という判断が働きやすいことが一因とされています。また、工場のOT（運用技術）環境はIT環境とセキュリティ設計が異なり、パッチ適用が困難な旧式システムが稼働していることも攻撃者に狙われやすい要因です。