「ランサムウェアに襲われた。でも犯人に身代金を払うわけにはいかない……」
絶望の淵に立たされた企業の前に現れる救世主、それが「復旧支援業者」だ。しかしその正体は、被害企業のメンツを保ちながら裏で犯人に金を流す「逆マネーロンダリング」のプロかもしれない。情シス22年の現場で何十件ものセキュリティインシデントを目撃してきた私が、あの美しすぎる共犯構造を解剖する。
この記事でわかること
- ランサムウェアの身代金が平均5億円に高騰した構造的理由
- 「復旧支援業者」が担う逆マネーロンダリングの実態
- 被害企業・保険会社・業者・犯人の全員が「丸く収まる」三店方式の罠
- 情シス担当者が今すぐ取るべき組織防衛の具体策
1. 爆上がりする「客単価」|B2B産業に進化したサイバー犯罪
📌 要点:ランサムウェアはもはや個人向けカツアゲではなく、平均5億円を狙う企業向けB2Bビジネスに変貌した。
かつてランサムウェアといえば個人のPCをロックして数万円を要求する、いわば「デジタルなカツアゲ」だった。今の彼らは違う。洗練された「B2Bビジネス」の体現者だ。
個人の悩みを聞いて1時間5,000円もらうより、企業のコンサルをして1時間10万円もらったほうが効率がいい。犯人グループも同じ発想でターゲットを企業へ完全シフトさせた。2024年の身代金平均支払額は約273万ドル、日本円で約5億円。2024年に支払われた身代金総額は確認されているだけで8億ドル以上。もはや一大産業だ。
なぜこれほどの高額が成立するのか。背景に「サイバー保険」の普及がある。自腹で5億円払うのは痛い。しかし保険でカバーされるなら、一刻も早く業務を再開したい企業にとっては「合理的な選択」になってしまう。この安心感が、皮肉にも犯人側の強気な価格設定を支えるインフラとなっている。
2. 正義の味方は「中抜きのプロ」か|禁断の逆マネーロンダリング
📌 要点:復旧業者は「技術で解決した」というストーリーを売り、企業が社会的非難を回避しながら身代金を払うための隠れ蓑として機能している。
企業にとって最大のハードルは金銭的損失よりも、「犯人に金を払った」という事実が公になることだ。反社会的勢力への資金供与は、コンプライアンス的に致命傷になりかねない。そこで「復旧支援業者」という絶妙な補助線が登場する。
彼らの手口はこうだ。身代金5億円を請求されている会社に、手数料込みで15億円を請求する。その15億円のうち5億円を裏で犯人に払い、10億円を抜いて「復元できましたよ」と報告する。企業は「復旧費用」という名目で金を払い、支援業者はその一部を「裏口」から犯人に流す。
これが「逆マネーロンダリング」の実態だ。企業は社会的メンツを保ち、支援業者は巨額の中抜き利益を得て、犯人は確実に売上を回収する。
もちろん、純粋に高い技術で復旧を行う正当な業者も存在する。しかし外部の監査から見れば、そのプロセスが「純粋な技術」なのか「裏での交渉と支払い」なのかを判別することは不可能だ。この不透明性こそが、支援業者を「無敵の共犯者」に仕立て上げている。
3. パチンコの三店方式と同じ|全員が「丸く収まる」資本主義のバグ
📌 要点:被害企業・保険会社・復旧業者・攻撃者の利害が歪んだ形で一致しており、誰もこの犯罪ビジネスを止めようとしない構造ができあがっている。
このビジネスモデルの真の恐ろしさは、関わるすべてのステークホルダーの利害が完璧に一致してしまっている点だ。日本のパチンコ産業を支える「三店方式」の構造そのものである。
| ステークホルダー | 経済的動機 |
|---|---|
| 被害企業 | 業務再開最優先。「技術料を払った」という名目で社会的批判を回避できる |
| 保険会社 | 長期停止による莫大な補填より、支援業者への支払いで「安上がり」に済む |
| 復旧支援業者 | 中抜きで通常では考えられない数億円単位の利益を得る |
| 攻撃者 | 業者介在でスムーズに交渉が進み、安全かつ確実に「売上」を回収できる |
この「四方よし」の構図が完成している限り、ランサムウェアが消えることはない。社会全体がこの犯罪を「必要悪」としてシステムに組み込んでしまっている。これが資本主義の生んだ最大級のバグだ。
情シス部門の立場から正直に言う。インシデント対応の現場で「この復旧業者、本当に技術で解決したのか?」と疑問を持ったことが何度もある。しかし調達部門は「とにかく早く復旧してほしい」の一点張りで、業者の手法を詮索することを嫌がる。この「見て見ぬふり」の文化こそが、この産業を肥え太らせているのだと思う。
4. 犯人と「常連」になる、プロのネゴシエーターたち
📌 要点:支援業者と犯人グループの間には奇妙な信頼関係があり、交渉担当者として「指名される」業者すら存在するという、倫理の崩壊した現実がある。
さらに事態をシュールにしているのが、支援業者と犯人グループの間に芽生える「奇妙な信頼関係」だ。有能な支援業者はもはやプロのネゴシエーターであり、世界中の凶悪なサイバー犯罪組織と「顔なじみ」になっている。
「いつもお世話になっております!今回も私が担当させていただきます!」みたいな感じで交渉に入るらしい。ゾッとしませんか?
あなたの会社を奈落の底に突き落とした犯人と、救世主であるはずの業者が、チャット画面の裏側で「お疲れ様です、例の件ですが……」とビジネスライクな挨拶を交わしている。対等なビジネスパートナーとして扱われることを好む犯人側も、支援業者の顔を立てて大幅な値引きに応じることがある。犯人から「次もあいつを交渉担当に指名してくれ」と信頼される業者すら存在する。
私たちが良かれと思って支払う対策費用や保険料が、巡り巡って次のサイバー攻撃の「研究開発資金」になっている。この絶望的なループが、今のIT業界の裏側で回っているのだ。
5. 情シス担当者が今すぐやるべきこと
📌 要点:「復旧業者を呼ぶ」前に整備すべき技術的・組織的対策が存在する。予防に投資することが、この共犯構造に加担しない唯一の道だ。
「復旧支援業者を使わざるを得ない状況」を作らないことが最大の防衛策だ。具体的には次の3点を優先してほしい。
① バックアップの3-2-1ルールを徹底する
データを3つ保管・媒体を2種類使用・1つはオフライン保管。ランサムウェアに感染しても、オフラインバックアップがあれば身代金交渉は不要になる。実際にこれで助かった企業を複数知っている。
② EDR(エンドポイント検知応答)を導入する
アンチウイルスだけでは検知できない振る舞いをリアルタイムで監視する。感染の初期段階で封じ込められれば、被害は最小限で済む。
③ インシデント対応手順書を事前に整備する
いざ感染したときに「復旧業者に丸投げ」しか選択肢がない状態では、業者に足元を見られる。内部での初動対応手順・連絡フロー・意思決定権限を文書化しておく。
有事の際に「どの業者を呼ぶか」を検討する前に、「どの業者を呼ばなくて済む組織にするか」を考える。それが情シス担当者としての本分だ。
よくある質問(FAQ)
- Qランサムウェアに感染したら、身代金は払うべきですか?
- A
原則として支払いは推奨されません。
支払っても暗号が解除される保証はなく、「払う組織」として記録され、再攻撃のリスクが上がります。まずはバックアップからの復旧・公的機関への通報・専門機関への相談が先決です。
- Q「復旧支援業者」はすべて怪しいのですか?
- A
復旧支援業者のすべてがそうであるとは限りません。
正当な技術力で復旧を行う業者も存在します。見極めのポイントは「具体的な技術的説明があるか」「料金の内訳が明示されているか」「警察・IPAへの通報を勧めるか」の3点です。
- Qサイバー保険は入るべきですか?
- A
保険加入自体は否定しませんが、「保険があるから身代金を払える」という思考になることが最大のリスクです。
保険は最後の手段であり、技術的な予防策の代替にはなりません。たとえ、身代金を払ったとしても相手が約束を絶対に守るとは限りません。
- Q中小企業でもランサムウェアに狙われますか?
- A
中小企業でも積極的に狙われます。
大企業より防衛が手薄で、サプライチェーン攻撃の踏み台としても利用されます。提携先の足掛かりにも使用されます。規模に関わらず基本的なバックアップとEDR導入は必須です。
- Q感染が疑われたら最初に何をすればいいですか?
- A
該当端末をネットワークから即座に切断、し関連のセキュリティ部門があれば担当者にすぐに報告し指示を仰ぐ。
パニックになって「とりあえず復旧業者に電話」では、足元を見られた状態で交渉することになります。
まとめ
- ランサムウェアは平均5億円の身代金を稼ぐ、企業を標的にしたB2Bビジネスへと進化している
- 「復旧支援業者」の一部は、企業が身代金を表向き払わずに済むよう機能する「逆マネーロンダリング」の担い手だ
- 被害企業・保険会社・業者・犯人の全員が経済合理性で動くため、三店方式と同じく構造的に犯罪が持続する
- この共犯構造に加担しないための唯一の手段は、「復旧業者を呼ばなくて済む組織づくり」への事前投資だ
「復旧の専門家」を呼ぶ前に、その業者の背後にどんな「顔なじみ」がいるのかを想像してほしい。あなたの会社が、気づかぬうちに次の被害者を生み出すスポンサーになっていないか確認することが、情シス担当者に求められるリテラシーだ。
🔗 関連記事:
