第29回ランサムウェア犯罪者に身代金を払わない理由と対処

ランサムウェアのビジネスモデル

ランサムウェア被害は以前から頻発していましたが、2025年9月・10月に起きたアサヒグループホールディングス社やアスクル社の事例は、商品の出荷停止といった社会的影響が大きく、多くの人がランサムウェアを身近に感じる契機となりました。

すでにランサムウェアは「データを暗号化してお金を取る」「情報を公開すると脅して支払いを迫る」というビジネスモデルが確立しています。被害者側からすると「身代金を払えば元に戻るのでは？」と考えがちですが、攻撃者の目線で見れば、組織として『支払わない』ことが長期的には最も合理的です。

では、「なぜ払ってはいけないのか」「払わないためには何をするべきか」を整理していきましょう。

身代金を払わない理由

➊ 復旧は保証されない

攻撃者へ身代金を支払っても、必ずしもデータが元どおりになるとは限りません。つまり、支払いは“賭け”であり、復旧を確約するものではないということです。

❷ 犯罪者を支援・助長してしまう

身代金を支払う行為そのものが、攻撃者優位の構造を維持することにつながります。

❸ 法律・社会的なリスクを伴う

日本でも海外でも、身代金を支払うことは法的リスクと社会的責任の問題を引き起こします。たとえ支払った直後に一部のデータを取り戻せたとしても、攻撃者に「お金を払う組織」と認識され、長期的なコストや新たな攻撃の誘発につながってしまうのです。

そのため、セキュリティの実務では「支払わない」方が合理的だとされつつあります。

攻撃者にとって魅力のない組織を目指す

攻撃者は“支払ってくれそうな組織”を狙います。一方、支払わない姿勢や備えがある組織は、攻撃者にとって利益が出にくい“面倒な標的”です。

準備不足で支払わざるを得ない組織は“美味しい標的”ですが、逆に言えば、準備を整えれば狙われにくくなります。「この組織は身代金を支払う」と一度判断されると、再度の攻撃の対象になりやすいでしょう。また、支払われて“回収成功実績”があると、攻撃者側にとっても宣伝材料になり、他の標的への誘引ともなります。このように、攻撃者視点では「支払わない組織を選ぶ / 支払いやすい組織を狙う」という選別が行われています。

よって、被害者側は「攻撃者にとって魅力のない組織」であることを目指すべきです。

身代金を払わないための対処・備え

攻撃を受けた直後は冷静な判断が難しい状況となります。以下のような対策を事前に講じることで、攻撃を受けても被害を最小化し、支払いを回避するための選択肢を確保することができます。

➊ 定期的なバックアップとリストア訓練

最も重要なのは、支払わなくても復旧できる状態を作ることです。

事前準備があれば、攻撃を受けても「バックアップから復旧する」という判断を迅速に下せます。これが支払いを回避するための最大の武器となります。

❷ 支払わないポリシー策定と経営陣の意思統一

攻撃を受けた直後にどうするかを判断できるように、以下を整備しておくと良いでしょう。

あらかじめ支払わない前提で備えておくことで、攻撃者に対して「この組織は支払わない」というメッセージを発する効果も期待できます。

❸ 脅威の検知・侵入防止・ネットワーク分離

備えだけでなく、そもそも侵入させない、被害を広げさせない対策も重要です。

これらは攻撃のスピードを鈍らせ、復旧手段を確保するための時間稼ぎになります。

❹ 外部専門家・インシデント対応体制の構築

被害発生時、自社だけで解決するのは困難です。専門家との連携を整えておきましょう。

また、被害範囲の調査・法令対応・通知といった一連のプロセスも、事前に手順化しておく必要があります。

さいごに

身代金を払わないことこそ、攻撃者に“価値の低い標的”と見られるための第一歩です。「支払って終わり」ではなく、「支払わずに切り抜け、次につなげる」姿勢こそが、長期的なセキュリティ強化につながります。

本稿が、皆さまの組織におけるランサムウェア対策の一助になれば幸いです。

（「SKYSEA Client View NEWS Vol.106」 2026年1月掲載）