ランサムウェアの身代金を支払えば、流出したデータは確実に削除されますか？

いいえ、保証はありません。攻撃者がコピーを保持し、後日改めて脅迫（二重・三重脅迫）に用いたり、ダークウェブで転売したりするケースが頻発しています。支払いは「データの安全」を買う解決策にはなりません。

バックアップがあれば、身代金を支払う必要は完全になくなりますか？

システムの「復旧」は可能ですが、窃取された情報の「暴露（リーク）」は防げません。そのため、強固なバックアップに加え、情報の持ち出しを検知・遮断する入口・内部対策の両輪が必要です。

日本企業が身代金を支払う際、どのような法的リスクがありますか？

直接的な禁止法はありませんが、支払先が経済制裁対象（OFACリスト等）の場合、外為法違反や国際的な制裁対象となるリスクがあります。また、株主代表訴訟において善管注意義務違反を問われる可能性も否定できません。

ホーム > blog > ランサムウェア身代金「支払率28%」低下の理由と復旧戦略

ランサムウェア身代金「支払率28%」低下の理由と復旧戦略

2026.03.04UP!

blog
2025年統計
BCP
コンプライアンス
サイバーセキュリティ
バックアップ戦略
ランサムウェア
危機管理

この記事では、2025年最新のランサムウェア被害報告に基づき、支払率が過去最低の28%に低下した背景と、企業が取るべき「支払わないための復旧戦略」を専門的見地から解説します。

ランサムウェア攻撃は激化の一途を辿っていますが、被害企業の対応には劇的な変化が起きています。ある報告によれば、被害者が身代金を支払った割合は過去最低の28%にまで落ち込みました。本記事では、なぜ支払率が急落しているのか、そして攻撃者の「二重・三重脅迫」に対して日本企業が法務・システム両面でどう備えるべきか、実務的なポイントを整理します。

支払率の推移と「支払額」の二極化

最新の統計データによると、ランサムウェア市場は大きな転換点を迎えています。

支払率の激減： 2022年の78.9%から、2024年には62.8%、そして2025年には28%と4年連続で減少しています。
支払額の急騰： 支払率が下がる一方で、1回あたりの支払い中央値は59,556ドル（前年比368%増）へと急増しました。

この傾向は「企業の復旧能力向上」と「法的リスクの浸透」による二極化と見ています。安易に支払わない企業が増える一方で、対策が不十分で支払わざるを得ない企業が、攻撃者の言い値で高額な身代金を搾取されている実態が浮き彫りになっています。

なぜ「支払わない」という選択が可能になったのか

支払率が低下した背景には、単なる精神論ではなく、以下の具体的な「拒否できる理由」の確立があります。

① イミュータブルバックアップによる「復旧力」

「暗号化されてもバックアップから戻す」前提の体制が一般化しました。特に以下の要素が重要視されています。

イミュータブル（改ざん不可）設定： 管理者権限が乗っ取られても、一定期間は削除・変更ができない仕組み。
エアギャップ（隔離）： ネットワークから論理的・物理的に切り離されたコピーの確保。
3-2-1-1-0ルール： 3つのコピー、2種類の媒体、1つはオフサイト、1つはイミュータブル、エラー0の確認。

② 制裁・法的リスクとビジネス判断

OFAC（米国外国資産管理局）の制裁対象や犯罪組織への支払いは、企業にとって致命的なコンプライアンス違反・制裁リスクとなります。「支払ってもデータが完全に復旧する保証はない」という不確実性が周知されたこともあり、取締役会レベルで支払容認のハードルが極めて高くなっています。

ランサムウェア対応において重要なのは、身代金支払いの可否を事後的に検討することではなく、BCP（事業継続計画）および予防的なセキュリティ対策を整備し、攻撃を受けた場合でも事業継続およびデータ復旧が可能な体制を平時から構築しておくことである。

Q&A：ランサムウェア対応のよくある質問

Q1. 身代金を支払えば、流出したデータは確実に削除されますか？
A. いいえ。攻撃者がデータを転売したり、将来的な脅迫のために保持したりすることは珍しくありません。支払いは「データの削除」を保証するものではありません。

Q2. バックアップさえあれば、身代金を支払う必要はありませんか？
A. データの復旧は可能ですが、窃取されたデータの「暴露（リーク）」を防ぐことはできません。そのため、侵入を防ぐ入口対策と、重要データの機密保持対策が不可欠です。

Q3. 日本の法令において、身代金の支払いは禁止されていますか？
A. 直接的な禁止規定はありませんが、反社会的勢力への利益供与や、国際的な経済制裁（外為法等）の観点から、重大な法的リスクを伴う可能性があります。

ランサムウェア被害において「身代金を支払わない」選択ができる体制づくりこそが、現代の企業防衛の核になると見ています。特に、バックアップの形式的な導入に安心し、復旧訓練や法的な流出リスクへの備えを見落としがちなポイントについては、個別の事情によって対応が異なるため、早めの確認をお勧めしています。

以下に1つでも該当する場合は、専門家への確認をお勧めします。

バックアップ用のパスワードを、普段の業務システムと同じもので管理している
データが消えた時に、具体的に何時間で業務を再開できるか把握できていない
実際にデータを元に戻せるか、全社的な復旧テストを1年以上やっていない
犯人から連絡が来た時に、誰がどこに連絡するか社内ルールが決まっていない

1つでも該当した方は、まずは自社のリスクの棚卸しだけご相談ください。

「バックアップがあるから大丈夫」という過信が、いざ攻撃を受けた際に「復旧まで数週間かかる」という現実に直面し、数億円の営業損失を前にして結局は身代金支払いの交渉テーブルに着かされる。そんな最悪のシナリオが多くの現場で起きています。

「弁護士に相談するのは事件が起きてから」と思われがちですが、実は被害に遭う前に「支払わなくて済む体制」を法務・システム両面で確認しておくことが、結果として最も安く済みます。

まずは現状の備えに穴がないかの確認だけご相談ください。

著者情報

赤坂国際法律会計事務所

弁護士　角田進二（Shinji SUMIDA）

ご相談はこちらから