「身代金は絶対払うな」で思考停止していない? ランサムウェア対応の盲点「支払う企業=悪」と言い切れない理由

バックアップやEDRを導入していても、ランサムウェア被害で企業が最後に直面するのは技術ではなく「経営判断」です。身代金を支払うべきかどうか。その二択だけに目を向けると、本当に備えるべきことを見落としかねません。企業が平時から設計すべき意思決定プロセスを、実例を交えて考えます。

» 2026年07月14日 05時00分 公開

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「ランサムウェアの身代金は支払うべきではない」

 サイバーセキュリティに携わる人であれば、一度は耳にしたことがある言葉ではないでしょうか。警察や各国政府機関、多くのセキュリティベンダーも同様の立場を示しています。

 その理由は明確です。身代金を支払ってもデータの復旧は保証されず、攻撃者に資金を提供することで新たな犯罪を助長することになります。また、一度支払いに応じた企業は「支払う企業」と認識され、再び標的となる可能性も指摘されています。

 こうした観点から見れば、「身代金は支払わない」という原則は極めて合理的です。原則論として異論を挟む余地はほとんどありません。

 しかし実際のインシデント対応の現場では、この原則だけでは答えを出せない場面があります。特に医療や交通、物流、金融、重要インフラなど、人命や社会機能に直結する事業では、「絶対に払うな」という一言では整理できない状況が生じることがあります。

 本稿は身代金の支払いを推奨するものではありません。むしろ、支払いの是非を善悪論だけで語るのではなく、企業はどのような条件で、誰が、どのような責任の下で判断すべきなのかを考えます。

支払った企業と支払わなかった企業 判断を分けたものは何か?

 まず確認しておきたいのは、「支払わない」という原則には十分な根拠があるということです。

 1つ目は、支払ったからといって復旧が保証されるわけではないことです。

 攻撃者が復号ツールを提供したとしても正常に動作する保証はなく、データの一部しか復旧できなかった事例も報告されています。また、近年増加している二重脅迫型ランサムウェアでは、暗号化されたデータを復旧できたとしても、窃取された情報が公開されない保証はありません。

 2つ目は、身代金が攻撃者のビジネスモデルそのものであることです。

 企業が支払った資金は、新たな攻撃に使われるインフラやマルウェア開発に再投資されます。結果として、社会全体のサイバーリスクを高めることにつながります。

 3つ目は法的・規制上のリスクです。

 例えば、米国財務省外国資産管理室(OFAC)は、ロシアを拠点とするサイバー犯罪組織「Evil Corp」や、北朝鮮との関係が指摘される「Lazarus Group」などを制裁対象に指定しています。攻撃者は別名義や関連グループを利用することも多く、短時間で相手の実体を見極めることは容易ではありません。結果として、身代金の支払いが制裁対象への資金提供と見なされる可能性もあります。

 このように考えると「支払わない」という方針は極めて妥当です。

 その代表例が、2019年にランサムウェア「LockerGoga」の攻撃を受けたノルウェーのアルミメーカー「Norsk Hydro」です。

 同社は身代金を支払わず、バックアップからの復旧を進めるとともに、一部の工場では手作業による操業に切り替えるなど、代替運用によって事業継続を実現しました。復旧には多額のコストと時間を要しましたが、「支払わない」という判断を現実のものにできた背景には、平時から復旧体制やBCP(事業継続計画)を整備していたことがあります。

 一方で身代金の支払いを選択した企業も存在します。

 食品大手JBS USAは2021年、北米と豪州のITシステムが攻撃を受け、一部の食肉処理施設が停止した後、1100万ドル相当の身代金を支払ったことを公表しました。同社は、大半の施設は既に稼働を再開していたものの、顧客への潜在的な影響を最小限に抑えるための判断だったと説明しています。

 また、米国の石油パイプライン事業者Colonial Pipelineも2021年に約440万ドルの身代金を支払いました。同社は米東海岸の燃料供給を支える重要インフラであり、操業停止による社会的影響を重く受け止めた結果だったとされています。

 もっとも、これらの事例は「支払えば解決する」ことを意味するものではありません。

 Colonial Pipelineでは、攻撃者から提供された復号ツールの性能は十分ではなく、実際にはバックアップを利用した復旧作業も並行して進められました。JBS USAのケースでも、支払いだけで問題が解決したわけではなく、不確実性の高い状況で経営陣が事業継続や社会的影響を総合的に判断した結果と見るべきでしょう。

 つまり「支払った企業」と「支払わなかった企業」を分けたのは、身代金に対する考え方ではありません。

 復旧手段は確保できているのか。バックアップは利用可能なのか。代替運用は可能なのか。社会への影響はどの程度か――。こうした条件を踏まえた経営判断の結果として、それぞれ異なる結論に至ったのです。

 いずれの事例も、ランサムウェア対応が単なる技術的な問題ではなく、企業経営そのものの問題であることを示しています。

それでも企業が支払いを検討せざるを得ない局面

 例えば医療機関を考えてみます。

 電子カルテシステムが停止し、診療情報にアクセスできなくなれば、診療効率が落ちるだけでは済みません。緊急搬送の受け入れ停止や手術延期など、患者の生命に影響を及ぼす可能性があります。

 ただし、ここで誤解してはならないのは、人命に関わる業種だからといって身代金の支払いが正当化されるわけではないということです。実際、各国政府や法執行機関は、医療機関を含めて身代金の支払いを推奨していません。

 それでも人命や社会機能への影響が大きいほど、経営陣が極めて難しい判断を迫られることは事実です。

 こうした状況は医療だけに限りません。

 製造業では、生産管理システムや受発注システムが停止すれば、納期遅延だけでなく、取引先の工場停止にまで発展する可能性があります。小売業では物流センターや決済システムが止まり、消費者への商品供給に影響します。JBS USAの事例でも、食肉処理施設の停止は食品供給や価格への影響が懸念されました。

 交通事業者であれば運行管理システム、物流事業者であれば配送管理システム、金融機関であれば決済システムの停止が社会全体へ波及する可能性があります。

 重要なのは、「情報システムが停止した」という事実ではありません。その停止が、人命や社会機能、サプライチェーン、顧客の生活にどのような影響を及ぼすのかという点です。

 仮に自力復旧に数週間を要すると見込まれ、攻撃者が「身代金を支払えば短期間で復旧できる」と主張してきたとします。

 もちろん、その約束が守られる保証はありません。しかし、その間に重大な社会的影響が発生すると予見されるなら、経営陣は「支払わない」という原則だけで結論を出すことは難しくなります。

 だからこそ、ランサムウェア対応は技術部門だけでは完結しない経営課題なのです。

「支払う企業=悪」と言い切れるのか?

 身代金支払いの議論になると、「支払う企業が悪い」「支払うからランサムウェアがなくならない」といった意見を耳にすることがあります。犯罪者への資金供給という観点から見れば、その指摘は決して間違いではありません。

 しかしインシデント対応に当たる経営者の立場で考えると、問題はそれほど単純ではありません。

 経営者には、攻撃者に資金を渡さない責任があります。一方で、顧客や利用者へのサービスを継続する責任、従業員の雇用を守る責任、取引先との契約を履行する責任、社会的混乱を最小限に抑える責任も負っています。これらの責任は、必ずしも同じ方向を向いているわけではありません。

 例えば、自力復旧には1カ月程度かかると見込まれる一方で、攻撃者は「身代金を支払えば短期間で復旧できる」と主張している状況を想像してみてください。

 もちろん、その主張が事実である保証はありません。実際には、復号ツールが正常に動作しないケースや、復旧に想定以上の時間を要するケースもあります。また、データを復旧できたとしても、窃取した情報を公開しないという約束が守られる保証もありません。

 それでも、その1カ月の間に医療提供が滞る、物流が停止する、金融サービスが利用できなくなるといった重大な社会的影響が予見されるのであれば、経営陣は極めて難しい意思決定を迫られます。

 重要なのは、「支払った」「支払わなかった」という結論だけではありません。その判断が、どのような情報を基に、誰が責任を持ち、どのようなプロセスで下されたのかが問われるのです。

支払いを判断する前に企業が確認すべきこと

 では、企業はどのような観点から判断すべきなのでしょうか。

 最優先で確認すべきなのは、人命や安全への影響です。事業停止によって生命や身体に直接的な危険が生じる可能性はないかどうか、社会インフラや重要サービスに重大な影響が及ばないかどうかを評価する必要があります。

 次に確認したいのは、代替手段の有無です。手作業による業務継続や代替システムの利用、外部委託などによって重要業務を維持できるのであれば、支払い以外の選択肢も見えてきます。

 バックアップの存在だけで安心することもできません。バックアップ自体が暗号化されていないかどうか、オフライン環境に保管されているかどうか、どの程度の期間で復旧できるのかを正確に把握する必要があります。バックアップがあることと、短期間で事業を復旧できることは同義ではありません。

 また、被害状況の把握も重要です。どのシステムが侵害されたのか、どのデータが窃取された可能性があるのか、情報漏えいは発生しているのかといった点は、経営判断だけでなく、その後の顧客対応や法令対応にも大きく影響します。

 さらに、支払ったとしても復旧できない可能性や、情報公開を防げない可能性も考慮しなければなりません。攻撃者の約束を前提に意思決定を行うこと自体が、大きなリスクを伴います。

 法的・規制上のリスクの確認も欠かせません。警察や外部弁護士、インシデント対応事業者、サイバー保険会社などと連携し、制裁対象への送金に該当しないか、保険の適用条件を満たすのかなど、多面的な観点から判断する必要があります。

 加えて、顧客や取引先、株主、監督官庁などへの説明責任も視野に入れなければなりません。仮に支払いを選択した場合でも、なぜその判断に至ったのかを説明できなければ、企業への信頼を大きく損なう可能性があります。

 つまり、身代金の支払いは、単なる技術的な判断ではなく、法務や広報、リスク管理、経営企画を含めた全社的な意思決定として捉える必要があるのです。

本当に議論すべきことは何か 「絶対に払わない」で思考停止しないために

 身代金支払いを巡る議論は、「支払うべきか、支払うべきではないか」という二項対立になりがちです。しかし、本当に重要なのは、その結論だけではありません。

 企業が平時から考えるべきなのは、「どのような状況で、誰が、どのような根拠に基づいて意思決定するのか」というプロセスそのものです。

 有事の最中に経営会議で初めて議論するようでは遅過ぎます。

 人命への影響はどこまで許容できるのか。社会的影響はどの程度想定されるのか。代替手段は確保できているのかどうか。自力復旧にはどれだけの時間がかかるのか。法的・規制上の問題はないのか。誰が最終的な責任を負うのか――。

 こうした判断基準を平時から整理し、意思決定プロセスを設計しておくことが、インシデント発生時の混乱を最小限に抑えることにつながります。

 もちろん、多くの場合、身代金は支払わないことが望ましいでしょう。犯罪組織への資金提供を防ぎ、新たな攻撃を助長しないという原則は、今後も変わることはありません。

 一方で、「絶対に支払わない」という原則だけを掲げて思考停止してしまえば、現実の危機に対応できない可能性があります。医療、交通、物流、金融、重要インフラなど、社会を支える事業では、人命や社会機能への影響を無視して議論することはできません。

 ランサムウェア対策というと、バックアップやEDR(Endpoint Detection and Response)、ゼロトラストなどの技術対策に目が向きがちです。もちろん、それらは被害を防ぎ、復旧を早める上で欠かせない取り組みです。

 しかし、どれだけ技術対策を講じても、経営判断そのものを代替することはできません。ランサムウェア対応の本質は、「身代金を支払うかどうか」という二択ではなく、不確実な情報しかない中で、企業としてどのような意思決定をするかにあります。

 そのためにも企業は「身代金を要求されたら誰が判断するのか」「どのような情報を集め、どのような手順で結論を導くのか」を平時から定めておくべきではないでしょうか。

 ランサムウェアは技術的な脅威であると同時に、企業のガバナンスと危機管理能力を試す経営課題でもあるのです。

筆者紹介:ガリガリあたま

大手通信事業者にてネットワークエンジニアとしてキャリアをスタートし、サーバサイドエンジニア、アプリケーションエンジニアとして、インフラからシステム開発まで幅広い領域に従事。エンタメ業界への出向や米国シリコンバレーでの勤務を経験し、メディアビジネスやスタートアップ企業での実務を通じて、技術と事業の両面からIT活用に携わってきた。

システム開発に携わる中で個人情報漏えい事案を経験したことを契機に、システムリスク管理やサイバーセキュリティへの関心を深め、外資系コンサルティングファームにて金融機関向けのリスクアドバイザリーおよびサイバーセキュリティコンサルティング業務に従事。

現在は大手金融機関において、これまでのエンジニアリング、コンサルティング、事業推進の経験を生かし、システムリスク管理およびサイバーセキュリティに関する業務に携わっている。技術・リスク・ビジネスを横断する視点から、実効性のあるセキュリティ対策と組織的なリスク管理の実現を目指している。



Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。