IT・DX活用

ランサムウェアの身代金、払っても4割は復旧できない。中小企業が払う前に知るべきこと

タグ: ランサムウェア / サイバー攻撃 / 中小企業 / セキュリティ対策 / BCP

「身代金を払えば、データは元に戻るはずだ。」

そう考えている経営者は少なくないかもしれません。しかし、最新の調査データはこの前提に疑問を投げかけています。

一般財団法人日本情報経済社会推進協会(JIPDEC)が2026年4月に公表した「企業IT利活用動向調査2026」によると、ランサムウェアの感染経験がある企業は45.8%にのぼり、企業規模に関わらず中小企業も標的になっていることが明らかになりました。さらに注目すべきは、身代金を支払った場合の「復旧できるかどうか」の実態です。

身代金を払う企業は減っているが、復旧率は伸び悩み

調査結果を時系列で見ると、興味深い変化が起きています。

身代金の支払い率は、2024年調査の57.0%から2026年調査では43.8%へと、3年連続で低下しています。「払わない」という判断をする企業が着実に増えているということです。

一方で、身代金を支払わなかったためにシステムやデータを復旧できなかった割合は、2024年調査の21.8%から2026年調査では28.4%へと上昇しています。

つまり、「払わない」企業が増えた結果として、「復旧できない」企業も増えているのです。

「払えば安心」でもない、という現実

では、身代金を支払った企業はどうなっているのでしょうか。

復旧成功率は2024年調査の40.2%から2025年調査の46.0%へと一度上昇したものの、2026年調査では44.2%へとわずかに低下しました。攻撃手法が高度化・巧妙化する中で、身代金を支払ったとしても、半数以上のケースで完全な復旧には至らないという実態が浮かびます。

つまり「払うか、払わないか」のどちらを選んでも、確実に元の状態に戻れる保証はないということです。これは、サイバー攻撃対策を「保険」のように捉えていた企業にとって、見直しを迫る数字です。

復旧にかかる時間も、決して短くない

被害からの復旧にかかる期間にも注目する必要があります。

復旧できた企業のうち、7割以上が1ヶ月以内に復旧できているものの、1ヶ月〜2ヶ月かかったケースが16.5%、2ヶ月〜3ヶ月が6.3%、3ヶ月以上かかったケースも3.1%存在します。約4分の1の企業が、1ヶ月以上の長期間にわたって業務に影響を受けているということです。

中小企業にとって、1ヶ月以上のシステム停止は、売上・取引先からの信用・従業員の業務継続に深刻な影響を与えかねません。

なぜ「払えば解決」とならないのか

身代金を支払っても復旧できない、または部分的にしか復旧できない理由として、次のようなケースが指摘されています。

  • 攻撃者が約束を守らず、復号キーを提供しない、または不完全な復号キーを渡す
  • 複数のシステム・ファイルが暗号化されており、一部しか復旧できない
  • 攻撃を受けた時点でバックアップ自体も暗号化されており、復元の手段がない
  • 支払い後も再度同じ攻撃者、または別の攻撃者から再攻撃を受ける

特に「バックアップ自体が被害に遭っていた」というケースは、対策の根本的な見直しが必要なポイントです。

中小企業が「払う前」にできる備え

身代金を払うかどうかの判断に迫られる状況そのものを避けることが、最も重要な対策です。

1. バックアップを「オフライン」または「別の環境」に取る

社内ネットワークと同一環境にバックアップがあると、攻撃時に同時に暗号化される危険があります。クラウド上の別環境、またはネットワークから切り離した場所への定期的なバックアップが必須です。

2. 「初動対応」を事前に決めておく

被害が発生したときに誰に連絡し、どこに相談し、どの順序で対応するかを事前に整理しておくことで、復旧の成否を左右する初動の遅れを防げます。実際、調査でも復旧できた企業ほど対応が早い傾向が示されています。

3. 「払うか払わないか」を経営判断としてあらかじめ議論しておく

被害が発生してから慌てて議論するのではなく、平常時に「うちは原則として払わない方針か」「払う場合の基準はどこか」を経営層で話し合っておくことが望ましいとされています。

4. EDR(侵入後の検知・対応)への投資を検討する

侵入を完全に防ぐことが難しくなっている今、侵入後にいかに早く検知し、被害範囲を抑えるかが重要になっています。中堅・中小企業でもEDR導入が拡大している背景には、こうした事情があります。

まとめ:「払えば終わり」という前提を捨てる

ランサムウェア被害における身代金の支払いは、もはや「払えば解決する」という単純な話ではありません。払っても復旧できないケースが半数以上存在する現実を踏まえると、被害を未然に防ぐ対策と、被害後すぐに動ける体制づくりの両方が経営課題として不可欠です。

「うちは狙われないだろう」という前提も、すでに崩れています。中小企業も等しく標的になっているというデータが、それを示しています。

参考:JIPDEC「企業IT利活用動向調査2026」(2026年4月公表)