身代金交渉で「絶対にやってはいけない行動」5選：支払うほど「晒される」皮肉な実態

「身代金は払うな」が定説だが、2025年の調査でも身代金を支払っている組織は存在する。では、身代金を払うのは正なのか。身代金交渉でやってはいけないアクションはあるのか。

[Bill Goodwin，TechTarget] PC用表示関連情報

LINE

Hatena

交渉で絶対にやってはいけない行動とは

併せて読みたいお薦め記事

ランサムウェア攻撃の関連記事

　スイス連邦工科大学チューリッヒ校（ETH Zurich）の研究者、マックス・スミーツ氏は、英国の国家犯罪対策庁（NCA）がランサムウェア攻撃集団「LockBit」を摘発した作戦「Operation Cronos」で押収した内部データを分析。身代金を支払った100社と、拒否した100社のその後の状況を比較調査した。その結果をまとめたのが、2025年に出版した『Ransom War：How Cyber Crime became a Threat to National Security』だ。

　分析から判明したのは、情報を隠そうとすることでかえって世間の注目を集めてしまう「ストライサンド効果」の存在だ。スミーツ氏は「世間の目に触れるのを恐れて身代金を支払うのは、逆効果だ」と警告する。同氏によると、身代金を支払う行為そのものが、攻撃者にとって「成功事例」として宣伝材料になる。それだけでなく、攻撃を受けた企業には注目が集まる。

　さらにスミーツ氏は、LockBitのような犯罪集団の「信頼性」は崩壊していると指摘する。かつてLockBitは「支払えばデータを削除する」と約束していたこともあるが、実際には削除せずに保持し続けていた事例が多数確認されている。NCAの摘発によって彼らの嘘が暴露され、ブランドイメージは失墜している。「金を払えば解決する」というビジネスライクな取引は、もはや成立しない。

犯罪者との交渉で「絶対にやってはいけない」5つの行動

　それでもなお、交渉の席に着かざるを得ない場合があるかもしれない。スミーツ氏がLockBitの押収データを分析して分かったのは、多くの企業が交渉のイロハを知らず、自ら不利な状況を作り出している現実だ。もし万が一、攻撃者と対峙することになった場合、以下の行動は慎むことを薦める。

1．「バックアップがない」と正直に告白する

　「バックアップに失敗していて、データがないと会社が潰れてしまう」と泣き付くことは、攻撃者に「言い値を払うしか選択肢がない」と教えるに等しい。交渉の主導権を完全に奪われる。

2．サイバー保険の証書や契約内容を提示する

　「保険の上限がここまでだから、これ以上は払えない」と証明するつもりで証書を送る企業がある。しかし、攻撃者にとってそれは「最低支払額の保証」としか映らない。彼らは保険金の上限ギリギリを要求してくるだけだ。

3．「金がない」「社会貢献している」と情に訴える

　「地域医療を支えている」「小規模な家族経営だ」といった情への訴えは、LockBitのような犯罪組織には通用しない。彼らの多くは機械的にターゲットを処理しており、あなたの会社の事情に関心はない。

4．即座に支払い交渉を始める

　攻撃を受けてすぐに「いくら払えばいいか」と尋ねるのは、パニック状態を露呈する行為だ。スミーツ氏の分析によれば、数週間支払わずにいると、攻撃者は「この企業はデータ復旧に必死ではない」「バックアップがあるのかもしれない」と推測し、要求額を下げる傾向があるという。沈黙もまた、交渉のカードになり得る。

5．「削除証明」を鵜呑みにする

　前述の通り、「金を払えば盗んだデータを削除する」という約束は、しばしば反故（ほご）にされる。支払いは「データの復元」の対価にはなり得ても、「流出の阻止」の保証にはならないことを肝に銘じよう。

結論：沈黙は金ならず

　Operation Cronosによる摘発後、LockBitの後継組織であるLockBit 4.0への身代金支払いは激減する傾向にある。スミーツ氏の調査によれば、摘発以前の2022年5月～2022年2月の間に80件あった支払いは、摘発後はわずか8件にとどまっているという。

　「金を払って解決」という安易な道は、もはや閉ざされている。情シス部門がすべきは、支払いの稟議（りんぎ）書を書くことではなく、「支払っても隠蔽（いんぺい）は不可能であり、かえって傷口を広げる」というこのデータを提示し、経営層にバックアップと防御への投資を促すことだ。