【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

ランサムウェアの身代金は支払うべきか?リスクと公的機関の指針を解説

インシデント・事例

「社内の基幹システムがランサムウェアに暗号化され、業務が完全にストップしてしまった」

「『期限までに身代金を支払えばデータを復元する』と脅迫されているが、背に腹は代えられないのだろうか」

このような、ランサムウェア被害に伴う金銭要求(身代金請求)に直面し、究極の決断を迫られている経営者や、総務・セキュリティ担当者の方は少なくありません。

事業活動の停止が長引くほど企業の損失は膨らむため、「お金を払ってでも一刻も早くデータを元に戻したい」という心理に駆られるのは当然の反応と言えます。

しかし、サイバー犯罪者の要求に応じて身代金を支払うことは、企業にとって本当に正しい解決策なのでしょうか。

支払うことによって生じる二次被害や、社会的なコンプライアンスリスクは想像以上に重大です。

本記事では、ランサムウェアの身代金を支払うべきかという問いに対し、想定される現実的なリスクや公的機関が示している指針を交えて解説します。

1. 原則として「支払うべきではない」とされる4つの理由

警察庁や独立行政法人情報処理推進機構(IPA)などの公的機関や、セキュリティの専門組織は、ランサムウェアの身代金について一貫して「原則として支払うべきではない」という見解を示しています。

それには、以下のような極めて現実的な理由があるためです。

理由①:データが確実に「復元される保証」がない

最も重要な点ですが、身代金を支払ったからといって、暗号化を解除するための「復号キー(鍵)」が確実に送られてくる保証はどこにもありません。

お金を持ち逃げされたり、送られてきた復号ツールがバグだらけでデータが一部しか元に戻らなかったりするケースが世界中で多数報告されています。

理由②:「カモリスト(標的)」にされ、再攻撃を招く恐れがある

サイバー犯罪者から「この企業は脅せばお金を払う従順な組織だ」と認識されてしまうリスクが想定されます。

ダークウェブ上の犯罪者コミュニティの間で情報が共有され、数ヶ月後に再び別のランサムウェアを仕掛けられたり、さらに高額な身代金を要求されたりする二次被害に繋がる恐れがあります。

理由③:サイバー犯罪組織の「資金源」となり、社会的な批判を受ける

支払った身代金は、国際的なサイバー犯罪グループやテロ組織、反社会的勢力の次の活動資金や、より高度なサイバー兵器の開発費用に充てられると考えられています。

結果として「犯罪に加担した(資金を提供した)」とみなされ、社会的責任や企業ブランドの失墜など、コンプライアンス上の致命的なダメージを負う恐れがあります。

理由④:外貨為替法などの「法的な規制」に抵触する恐れ

国内外の法規制において、国際テロリストや特定の制裁対象国・組織に対する資金移動は厳しく制限されています。

相手が国際的な制裁対象に指定されているサイバー犯罪グループであった場合、知らずに身代金を支払ったとしても、外為法などの各種法令に抵触し、法的ペナルティの対象となるリスクがゼロではないと考えられています。

2. 身代金を支払わずに事業を復旧するための「現実的なアプローチ」

「支払わない」という決断をするためには、企業としてどのようなバックアッププランを用意しておくべきでしょうか。

実務的な対応策を整理します。

アプローチ1:オフラインバックアップからの「システムの再構築」

  • 実務:ネットワークから物理的に切り離された環境(外部HDDや、異なるネットワークのクラウド等)に保存されていたバックアップデータを使用し、システムを初期化して再構築します。 日頃から「バックアップが正しく機能しているか」の復旧訓練を行っておくことが、身代金要求を突っぱねる最大の武器となります。

アプローチ2:サイバー保険の活用による「費用補填」

  • 実務:多くのサイバー保険では、犯罪者へ支払う「身代金そのもの」は補償対象外(支払われない)となっています。 しかし、身代金を支払わずに自力でシステムをゼロから復旧・再構築するためにかかった「専門業者の対応費用(フォレンジック調査やサーバー調達費など)」については、費用損害として幅広くカバーされる傾向にあります。これにより、金銭的な理由で支払いに踏み切らざるを得ないという状況を回避できる場合があります。

3. 究極の選択を迫られたときに迷わない「体制づくり」

ランサムウェアの画面が出てから、社長や役員、情シス担当者が集まって「払うか、払わないか」を議論していては、パニックから誤った判断を下してしまいかねません。

  • 「平時からのインシデント対応シミュレーション」の重要性: 不測の事態に備え、あらかじめ「我が社は万が一ランサムウェアに遭っても、公的指針に従い身代金は一切支払わない」「その代わりに、〇〇のバックアップから復旧を試みる」という基本方針を、経営陣を含めて共通認識にしておくことが重要です。 このような意思決定のプロセスや連絡ルートを統括する「CSIRT(シーサート)」のような役割を社内に定着させておくことが、いざという時の冷静な判断を支える土台となります。

よくある質問(FAQ)

Q. 「身代金を支払わなければ顧客データをネットに公開する」という二重脅迫を受けています。この場合でも支払うべきではないですか?

A. 二重脅迫の場合であっても、原則として支払うべきではないと考えられています。

お金を支払ったとしても、犯罪者が「本当に手元のデータを消去したか」を確認する術はありません。

裏でデータをコピーして保管され、将来的に追加で脅迫されたり、結局はダークウェブに流出させられたりする恐れがあります。

流出のリスクを想定し、速やかに警察や個人情報保護委員会への報告、被害者への通知といった「法的に定められた正しい手続き」を進めることが推奨されます。

Q. 自社がランサムウェアに感染した際、どこへ連絡・相談すれば良いですか?

A. 最寄りの警察署(サイバー犯罪相談窓口)や、独立行政法人情報処理推進機構(IPA)の相談窓口への速やかな通報・相談をお勧めします。

公的機関に一報を入れることで、過去の類似事例から得られた知見や、対応における注意点のアドバイスを受けられる場合があります。

また、契約しているセキュリティベンダーや、加入しているサイバー保険の緊急受付窓口へも同時に連絡を入れ、技術的な初動対応の指示を仰ぐのが安全です。

まとめ

ランサムウェアの身代金支払いにおける本質は、目先のデータを買い戻すことではなく、その決断が引き起こす「将来の企業の存続リスク」との天秤にあります。

  • 身代金を支払っても、データが確実に復元される保証はなく、再攻撃の標的になる恐れがある
  • 国際的な規制やコンプライアンスの観点からも、原則として支払わない姿勢が強く求められる
  • 日頃からネットワークを分離したバックアップを整備し、保険を活用した復旧体制を整えておく

※個別のランサムウェアインシデントへの具体的な技術対応や、法的な報告義務・判断が必要なトラブルについては、自社だけで判断せず、必ず警察や専門のセキュリティ事業者、弁護士などの専門家へご相談ください。

情報セキュリティ研修をご検討中の方へ

当サイトでは、企業・自治体向けに以下のサービスをご提供しています。

  • 研修動画パッケージ(買い切り型)
  • 講師派遣による対面・オンライン研修
  • 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター

動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。

料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

タイトルとURLをコピーしました