2026年4月発表のJIPDEC調査で、ランサムウェア身代金を支払った222社のうち約6割にあたる139社がデータ復旧に失敗していた実態が明らかに。払うべきか、払わないとどうなるか、中小企業が今すぐ取るべき対策を解説します。
「うちは大丈夫か」と思っているそこの経営者へ
ある朝、出社したら社内のすべてのファイルが暗号化されていた。「データを返してほしければ◯百万円を送金せよ」というメッセージが画面に表示されている——これがランサムウェア攻撃の典型的な手口です。
「うちは中小企業だからターゲットにならない」「セキュリティソフトを入れているから大丈夫」。そう思っている経営者・情シス担当者ほど危険です。2026年4月20日、日本情報経済社会推進協会(JIPDEC)が発表した調査結果は、その「大丈夫」という思い込みを根底から覆す内容でした。
調査対象1,107社のうち、約46%にあたる507社がランサムウェア被害を経験していたというのが現実です。2社に1社近くが被害を受けている計算になります。神奈川を拠点にWebサイト制作・保守を手がける私たちFivenine Designも、クライアントからセキュリティ相談を受ける機会が急増しています。この記事では、JIPDEC調査の数字を正確に読み解きながら、「払うべきか」「払わないとどうなるか」「今すぐ何をすべきか」への答えを示します。
出典:JIPDEC公式プレスリリース(2026年4月20日)、共同通信(Yahoo!ニュース配信)
JIPDECが発表した「衝撃の数字」を正確に読む
今回の調査で最も注目すべきデータを整理します。まず全体像を把握してください。
身代金を支払った222社の「その後」
最も重要なのが、身代金を支払った222社のうち、実際にデータを復旧できた企業と失敗した企業の内訳です。
数字を率直に言えば、身代金を支払っても約6割(139社)はデータを取り戻せなかったのです。数百万〜数千万円を犯罪組織に振り込んだにもかかわらず、業務データは戻らない。これが日本企業が直面した現実です。
一方で見落とせない数字があります。身代金を支払わずに自力で復旧できた企業が141社存在します。支払いを拒否しても、141社は業務を再開できた。この事実が何を意味するか、後ほど詳しく解説します。
なぜ「払っても復旧できない」のか——専門家の指摘
身代金を払えばデータが戻ると思い込んでいる方は多い。しかし、セキュリティの専門家はその認識の誤りを繰り返し指摘してきました。
「身代金を支払っても、データが復元される保証は一切ない。それどころか、支払いは犯罪組織の収益源になり、次の攻撃の資金に充てられる」
これは世界中のセキュリティ専門機関が一致して示している見解です。攻撃者側の事情を考えると理由は明確です。
141社が「払わずに復旧」できた理由——対策の有効性
ここが最も重要なポイントです。身代金を支払わずに業務を復旧できた141社は、何が違ったのでしょうか。
注目すべきは、「支払わずに復旧できた141社」が「支払って復旧できた83社」を上回っているという事実です。これは偶然ではありません。復旧できた企業には共通する対策が存在します。
復旧成功企業が持っていたもの
1. 定期的かつオフライン(隔離)バックアップ
最も重要な防衛線です。ランサムウェアは接続されているすべてのドライブ・クラウドストレージを暗号化しようとします。ネットワークから切り離された場所(テープ、オフラインHDD、エアギャップを設けたクラウド)にバックアップが存在すれば、身代金を払わずとも復元できます。
2. バックアップの「世代管理」
ランサムウェアは感染後しばらく潜伏し、バックアップも汚染されてから暗号化を実行するケースがあります。「昨日のバックアップだけ」では不十分で、1週間前・1ヶ月前・3ヶ月前など複数世代を保持することが重要です。
3. インシデント対応計画(BCP)の整備
被害発生時に「誰が何をするか」が事前に決まっている企業は復旧が早い。特権アカウントの隔離手順、外部専門家への連絡先、警察・IPA(情報処理推進機構)への届出フローが文書化されているかどうかが分かれ目になります。
4. ネットワーク・セグメンテーション
社内ネットワークを部門ごとに分離していた企業は、被害範囲を限定できました。1台のPCが感染しても、経理システムや顧客データベースへの横展開を防げた事例があります。
よくある失敗パターン——「やりがちなミス」で被害が拡大する
セキュリティ対策を「やっているつもり」で実は機能していないケースを整理します。情シス担当者はこの落とし穴を必ず確認してください。
中小企業が今すぐ始めるべき対策——優先順位付きで解説
「全部やらなければ」と思うと何もできなくなります。被害を防ぐ・最小化するための対策を優先順位順に示します。
第1優先:バックアップ体制の再構築(今すぐ)
3-2-1ルールを基準にしてください。データのコピーを3つ作成し、2種類の異なるメディアに保存し、1つは必ずオフサイト(別の場所)に保管する原則です。
- 3:データのコピーを3つ持つ
- 2:2種類の異なる媒体(クラウド+外付けHDDなど)
- 1:1つはオフライン・別拠点(ネットワーク非接続)に保管
コスト感の目安として、中小企業向けのクラウドバックアップサービスは月額5,000円〜3万円程度から導入できます。身代金の数百万円と比較すれば、圧倒的に安価な「保険」です。
第2優先:多要素認証(MFA)の導入(1週間以内)
VPN、メール、クラウドサービスへのログインに多要素認証を設定します。スマートフォンへの確認コード送信などで、パスワードが盗まれても不正ログインを防げます。Microsoft 365やGoogle Workspaceを使っている企業であれば、管理コンソールから設定できます。
第3優先:ソフトウェアの定期更新(継続的に)
OS、ブラウザ、VPN機器のファームウェア、Webアプリケーション(WordPressなど)のアップデートを放置しない。特に公開されているWebサイトは脆弱性が放置されると攻撃の入り口になります。
Webサイトはランサムウェアの「踏み台」になる
ここで見落とされがちな視点を一つ付け加えます。WordPressなどのCMSで構築された企業サイトが放置状態になっていると、そこを踏み台に社内ネットワークへの侵入を試みられるケースがあります。
Fivenine Designでは、WordPress・Laravel・Next.jsで構築したサイトの定期保守(プラグイン更新・脆弱性スキャン・バックアップ設定)を行っています。「サイトを作ったっきりで保守は何もしていない」という状況は、玄関の鍵をかけずに帰宅しているようなものです。保守体制の見直しもセキュリティ対策の一環として検討してください。
「払うべきか、払わないべきか」への最終回答
JIPDECのデータと専門家の知見を総合すると、答えは明確です。
| 判断軸 | 支払う場合 | 支払わない場合 |
|---|---|---|
| データ復旧の可能性 | 約37%(83社/222社) | バックアップがあれば高い |
| 費用 | 数百万〜数千万円の身代金 | 復旧作業費(数十万〜) |
| 再攻撃リスク | 高い(支払い実績が共有される) | 低い |
| 犯罪助長 | 収益源になる | ならない |
| 法的リスク | 制裁対象組織への支払いは違法になる場合も | なし |
| 推奨 |
政府・セキュリティ機関の公式見解も「身代金の支払いは推奨しない」で一致しています。払っても6割が復旧できず、再攻撃リスクも高まり、犯罪組織を肥大化させる——支払いに合理的な理由はほぼありません。
**唯一の正解は「払わなくても復旧できる状態を事前に作っておくこと」**です。141社がそれを実証しています。
業務のデジタル化・Web化をお手伝いします
ITコンサルティング
ツール選定からWeb制作・システム構築まで、ビジネスのIT化をトータルで支援します
※ 通常1営業日以内にご返信します
まとめ:今日から動くための優先行動リスト
2026年4月のJIPDEC調査が示したメッセージは一つです。ランサムウェアは「もしもの話」ではなく、「2社に1社近くが経験する現実」です。身代金を払っても6割は復旧できず、支払わずに復旧した企業が141社いる——これはバックアップと事前対策の有効性を数字で証明しています。
「相談してから考える」ではなく、今日この記事を読み終えた後に最初の一歩を踏み出してください。
Webサイトのセキュリティ・保守についてのご相談
Fivenine Designでは、神奈川を中心に中小企業のWebサイト制作・保守・セキュリティ対応を20年以上にわたってサポートしてきました。WordPressサイトのプラグイン管理、定期バックアップ設定、脆弱性スキャン、Laravel・Next.jsで構築したシステムの保守など、「作って終わり」ではない継続的な伴走支援を得意としています。
「自社サイトのセキュリティが心配」「保守を誰かに任せたい」というご相談は、お問い合わせフォームからお気軽にどうぞ。初回相談は無料で承っています。
