セキュリティ座談会 Part６｜【身代金は支払うべき？】ランサムウェア被害に直面した企業の選択

2025年11月19日

平均被害額は2,000万円超
身代金は支払うべきか
“備えのポートフォリオ”はバランスよく組む
関連記事について

セキュリティ座談会 Part６｜【身代金は支払うべき？】ランサムウェア被害に直面した企業の選択

多様なサイバー脅威が蔓延る中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。その様子を連載形式でお届けします。

Part５では、クラウドセキュリティを学ぶ方法として、検証や攻撃者視点を持つことの重要性を議論しました。Part６では、ランサムウェア攻撃における具体的な被害や、身代金要求に対する姿勢、サイバー保険を活用した経済的な備え方について語ります。

参加メンバー
北村明彦
ソリューション事業本部インフラ事業部

川西就
ソリューション事業本部インフラ事業部クラウドソリューション部

脇屋徳尚
ソリューション事業本部インフラ事業部

岩品慶子
ソリューション事業本部インフラ事業部インフライノベーション部

櫻井秀憲
ソリューション事業本部インフラ事業部

平均被害額は2,000万円超

――ランサムウェアなどの被害に遭った場合、具体的にどのような状況に陥ってしまうのでしょうか。

桜井：参考にするデータによって異なるため一概には言えませんが、JNSA 調査研究部会インシデント被害調査ワーキンググループが公開したデータによると、ランサムウェアによる平均被害金額は2,386万円です。対応に要した組織の内部工数平均は27.7人月で、暗号化されたデータを復旧できた組織は50%と、半数しかありません。
※参照元ページリンク（JNSA|調査研究部会インシデント被害調査WG|サイバー攻撃を受けるとお金がかかる～インシデント損害額調査レポートから考えるサイバー攻撃の被害額～）

これはあくまでランサムウェア攻撃自体の対応にかかる費用の平均で、被害にあった場合、数カ月は事業が停止するケースがほとんどです。その場合、売上も上がらないので、実際の総被害額はもっと高いはずです。

北村：むしろ売上が上がらないことの方が問題です。結果的に生産能力が落ちてしまうので、事業継続が難しくなります。

川西：実際に攻撃を受けてシステムが停止した企業の方に話を聞いた際、工場の運営が止まってしまって、「座っていることしかできない」とおっしゃっていました。

従業員は勤務しないと給料が支払われないので、とりあえず出勤するしかなく、会社側も強制的に休ませることはできません。
そのため、その会社の従業員は出勤しても、なにもせずただ“そこにいる”か、手作業でできることだけをするしかなかったそうです。

身代金は支払うべきか

――会社として事業が継続できない状況に陥るくらいなら、「身代金を支払ってでもシステムを復旧させて業務を再開させ、売上を上げた方が損失をカバーできるのでは」という声もあります。

櫻井：身代金を支払ってもシステム復旧が保証されているわけではありません。支払ってもさらに身代金を要求されたり、二重三重の脅迫を受けたりすることもあります。原則として、身代金は支払うべきではないと思います。

実際の事例では、攻撃者の要求通りにビットコインを支払い、復号キーを受け取ったものの、復号キーが機能せず、不正なキーによりかえってデータが破損してしまったケースもあります。結果として、利用可能なデータは古いバックアップしかなく、そこから復旧せざるを得なかったのです。身代金の支払いによって復旧が早まるどころか、復旧に時間とコストがかかり、損失をさらに大きくしてしまったそうです。

一方で、ランサムウェアに感染したものの、身代金を支払わずに3日で復旧させた、名古屋港の事例もあります。直近のバックアップが無事で、なおかつ単一環境だったため、復旧に集中できたそうです。

岩品：普段から有事対応を考えていたからこそ、攻撃を受けた場面でもすぐに判断ができたケースだと思います。攻撃者に侵入されてしまうことを想定し、支払わなくても復旧できるようにバックアップ構成や復旧設計を整えておくべきです。

川西：攻撃者も儲からないところには、攻撃を仕掛けないはずです。社会全体で身代金を支払わない風潮を作ることができれば、日本は攻撃者から狙われる確率を下げられるかもしれません。