【身代金は払うべき？】ランサムウェアの正しい対処法

ランサムウェアの「身代金」は支払うべきか？

警察庁の公式見解は「支払わない」が鉄則

サイバー攻撃に対して、日本の警察庁や政府機関は一貫して「身代金は絶対に支払うべきではない」という見解を示しています。これは、支払った金銭が犯罪組織の活動資金として悪用される懸念や、要求に応じてもデータが復元される保証が一切ないためです。

“なお、暗号化されたデータを復号するための対価と称して、ランサムウェア攻撃グループから要求される金銭等を支払うことに関し、警察としては、「犯罪グループ等の活動資金となることが懸念される」「暗号化されたデータの復号が保証されるわけではない」旨を被害者に対して説明しているほか、要求された金銭等の支払いの有無も含む、ランサムウェア被害に係る情報の提供をはじめとした捜査への協力を求めている。”

引用元：警察庁「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/hakusyo/h21/honbun/html/le300000.html

長引く復旧と莫大な調査費用

「お金を払えば、すぐに元通り事業を再開できるだろう」と考えるのは危険な誤解です。警察庁の発表によると、ランサムウェア被害の事後対応には、初動から完全復旧までに多大な時間とコストがかかります。

• 復旧スピード： 「数日ですぐに元通り」になるケースは稀で、多くの企業で1か月以上の長期化や、終わりの見えない「復旧中」の状態が続くのが実態。
• 「身代金以外」のコスト： どこから侵入されたかの原因調査やシステムの再構築に要する数千万円から数億円規模にのぼる莫大な事後費用。

出典：警察庁「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に作成
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

また、下記グラフの通り、システム停止が長引くほど被害額は跳ね上がります。復旧に2か月以上を要したケースでは、例外なく全件で1,000万円以上の費用が発生しており、うち3割超が1億円以上という壊滅的な損害となっています。

出典：警察庁「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に作成
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

国際的には“テロ支援扱い”となる制裁リスクも存在

さらに恐ろしいのが、国際的な法的リスクです。米国財務省の外国資産管理局（OFAC）などは、特定のサイバー犯罪グループを制裁対象に指定しています。もし自社が支払った身代金がこれらの組織に渡った場合、「テロ組織への資金供与」とみなされ、巨額の罰金や国際的な取引停止といった致命的な制裁を受ける可能性があります。

身代金を払うべきではない4つの理由

理由①：データが復号される保証なし

攻撃者はビジネスマンではなく犯罪者です。身代金を支払ったからといって、確実に暗号を解くツールが提供される保証は一切ありません。送られてきたツールが粗悪で、結局データが壊れたまま戻らなかったというケースもあります。

理由②：支払っても暴露される二重恐喝の罠

現代のランサムウェアは、暗号化する前にデータを盗み出し「払わなければ機密情報をダークウェブに公開する」と脅す二重恐喝が主流です。しかし、お金を払っても犯罪者データを消去する保証はなく、追加の金銭要求や、情報公開に発展する例が後を絶ちません。

関連記事：【ランサムウェアとは】企業の事業継続を脅かす脅威｜最新手口、感染経路、必須対策、復旧までを徹底解説

理由③：再攻撃の標的となる

一度でも身代金を支払ってしまうと、ダークウェブ上の犯罪者ネットワークにおいて「脅せばお金を払う企業」というリストに載ってしまいます。結果として、別の攻撃者から何度も繰り返し標的にされるリスクが跳ね上がります。

理由④：反社やテロリストへの資金提供

支払った身代金は、そのままサイバー犯罪組織やテロリスト、敵対国家の活動資金・兵器開発の資金源へと流れます。身代金の支払いは、社会全体の脅威拡大につながる反社会的な行為となり得ます。

事前に決めておくべき「社内の意思決定プロセス」

いざ画面が真っ暗になりカウントダウンが始まると、現場も経営陣もパニックに陥ります。極限状態の中で判断を誤らないよう、平時のうちに以下の意思決定プロセスを明確にしておくことが重要です。

身代金支払いにおける法的・倫理的リスク

身代金を支払うことは、サイバー犯罪組織やテロリストへ活動資金を提供することに他なりません。倫理的な非難を浴びるだけでなく、国際的な制裁対象組織（OFACなど）に送金してしまった場合、自社が「テロ支援組織」と見なされ、巨額の罰金や取引停止といった法的リスクを背負う可能性があります。

「支払わない」という基本方針の共有とルール化

前述のリスクを踏まえ、経営層を含めた全社で「いかなる理由があろうと身代金は支払わない」という明確な方針を合意しておく必要があります。これを社内規程やBCP（事業継続計画）に明記し、現場の独断による犯罪者との交渉を防ぎます。

経営・法務・CSIRT・広報を含む「緊急時決裁フロー」の準備

インシデント発生時は分刻みでの対応が求められるため、有事の際に「各部門がどの役割を担うか」という横断的な連携・決裁フローを事前に定めておきます。

• CSIRT： 現場の状況把握と情報の集約
• 法務： 情報漏洩やシステム停止に伴う法的リスクの評価
• 広報： 顧客、取引先、関係省庁、メディアへの適切な公表対応
• 経営層： 各部門からの情報を基にした、迅速かつ最終的な意思決定

サイバー保険の補償範囲（支払いの可否）を正しく理解

自社が加入しているサイバー保険について、「身代金の支払いが保証対象になるのか（多くは補償対象外、または厳しい条件があります）」を事前に確認してください。また、フォレンジック（原因調査）やシステム復旧費用がどこまでカバーされるのか、発動条件を正しく理解しておくことが重要です。

身代金要求画面（ランサムノート）が表示された時の「初動対応」7ステップ

万が一、ランサムウェアの感染画面が表示されてしまった場合、まずは落ち着いて以下の手順を踏んでください。

【絶対にやってはいけない行動】

対応を誤ると被害が拡大し、専門家でも復旧不可能になります。以下の3つは絶対にやってはいけません。

1. 再起動： 端末の再起動やシャットダウンによる、メモリ上の重要な痕跡（証拠）の消失と暗号化進行のリスク。
2. 復旧ツールの自己判断利用： ネット上の怪しい復号ツールを試すことによる、システムの完全な破壊。
3. ネットワーク接続の維持： 繋いだままにすることで起きる、他のサーバーやパソコンへの瞬時な感染拡大。

初動対応の7ステップ

Step1：隔離（ネットワークからの即時切断）

真っ先にやるべきは、感染が疑われる端末をネットワークから物理的に切り離すことです。LANケーブルを抜き、Wi-Fiのスイッチをオフにしてください。

Step2：報告・連絡（エスカレーション）

被害を隠さず、社内のCSIRT（セキュリティ対応チーム）や情報システム部門へ即時報告し、経営層へ迅速に事態をエスカレーションします。

Step3：影響範囲の特定（状況把握）

他に画面がおかしくなっている端末はないか、ファイルサーバーにアクセスできるかなど、被害の範囲を冷静に特定します。

Step4：専門家への連絡（外部支援の要請）

自力での解決は不可能です。契約しているセキュリティベンダー（SOCやインシデント対応業者）へ即座に連絡し、同時に警察の「サイバー犯罪相談窓口」へ通報します。

Step5：封じ込め（感染拡大の阻止）

専門家の支援を受けながら、攻撃者の侵入経路を特定し、そこを遮断して被害の水平展開を防ぎます。

Step6：証拠保全（フォレンジック準備）

後の原因究明や法的対応のため、関連するサーバーやファイアウォールのログ、感染端末のデータを保全します。

Step7：社内外への公表・通知（ステークホルダー対応）

専門家や法務と相談の上、個人情報保護委員会などの関係省庁や、取引先、顧客への状況通知の必要性とタイミングを適切に判断し、誠実な広報対応を行います。

関連記事：【ランサムウェア感染したら】企業が取るべきインシデント対応7ステップと症状チェックリスト

ランサムウェア被害を防ぐ「再発防止策」

インシデントを乗り越えた後、あるいは未然に防ぐためには、以下のような最新のセキュリティ対策を導入し、根本的な防御体制をアップデートする必要があります。

EDR / XDR による早期検知

従来のアンチウイルスソフトをすり抜けた脅威に対抗するため、PCやサーバー（エンドポイント）の不審な動きを常に監視するEDRや、ネットワーク全体を統合的に監視するXDRを導入します。これにより、暗号化が本格化する前に攻撃の予兆を早期検知し、自動で隔離することが可能になります。

関連記事：今さら聞けない「EDR」とは？基本的な役割と導入後の運用課題をわかりやすく解説

イミュータブルバックアップ（3-2-1-1-0）

ランサムウェア対策の最後の砦として「3-2-1-1-0」ルールに則ったバックアップを構築します。特に、ネットワークから切り離されたオフライン環境や、管理者であっても一定期間データを書き換え・削除できない「イミュータブル（不変）」なストレージを導入し、バックアップ破壊攻撃を無効化します。

関連記事：【8割が復旧失敗】ランサムウェア対策・バックアップ完全ガイド

ゼロトラスト・MDR・SOCによる24/365監視

「社内ネットワークは安全」という前提を捨て、すべての通信を疑う「ゼロトラスト」アーキテクチャへ移行します。さらに、深夜や休日の手薄な時間を狙う攻撃に備え、セキュリティの専門家が24時間365日体制で監視とインシデント対応を代行するMDRやSOCサービスを活用します。

「身代金を払わなくて済む状態」を作る体制構築

最も重要なのは、特定のツールを入れることではなく、組織全体として「身代金を払わなくて済む状態」を作り上げることです。早期検知で被害を最小限に抑え、イミュータブルバックアップで確実に自力復旧できる環境を整えることで、はじめて犯罪者の脅迫を跳ね返す強靭な体制が完成します。

まとめ：身代金ビジネスに加担せず、「払う必要のない」強靭な体制づくりを

ランサムウェアの身代金要求に対して、「払えば解決する」という甘い期待は通用しません。むしろ、身代金の支払いは企業にさらなるリスクと莫大なコストを背負わせる最悪の選択となります。

経営層と現場が一体となり「絶対に支払わない」という毅然とした方針を定め、有事の迅速な初動マニュアルを整備すること。そして何より、強固なバックアップと監視体制によって「身代金を払わずとも自力で復旧できる強靭な環境」を作り上げることが、企業を守る対処法です。