ランサムウェアの身代金は払うべきか？アサヒビール・アスクルの事例から学ぶ究極の決断

「身代金を払えば、データは戻ってくるのか？」
「払わなければ、顧客情報が全世界に公開される」

2025年、ランサムウェア攻撃を受けた企業は、この究極の選択を数時間以内に迫られます。もはや「バックアップがあるから大丈夫」という理屈は通用しません。攻撃者はデータを盗み出し、「公開」を人質に取る「二重脅迫（ダブルエクストーション）」を標準化しているからです。

本記事では、アサヒビールおよびアスクルの事例を紐解きながら、実際に身代金請求が行われた際に企業が直面する現実と、支払いを回避するための唯一の道筋を解説します。

1. 2025年の身代金請求：手口は「データの誘拐」へ
1. 二重脅迫（ダブルエクストーション）の標準化
2. 三重・四重の脅迫へ
2. 【シミュレーション分析】アサヒビール・アスクルは脅迫にどう直面したか？
1. ケース①：アサヒビール（製造業モデル・シミュレーション）
2. ケース②：アスクル（Eコマースモデル・シミュレーション）
3. 「身代金を支払う」という選択の末路
1. 支払ってもデータは守られない
2. 社会的・法的リスク
4. 支払いを拒否するための「唯一の生存戦略」
1. ① 攻撃者も消せない「イミュータブルバックアップ」
2. ② 情報漏洩リスクを減らす「ゼロトラスト」
まとめ：経営者が下すべき決断とは

1. 2025年の身代金請求：手口は「データの誘拐」へ

かつてのランサムウェアは、単にデータを暗号化して「復旧したければ金を払え」と要求するものでした。しかし、現在はその手口が劇的に悪質化しています。

二重脅迫（ダブルエクストーション）の標準化

近年のランサムウェア事例によると、2025年の攻撃においては「データの窃取」と「暗号化」がセットで行われます。

第1段階: 企業の機密情報（顧客リスト、人事情報、技術情報）を外部サーバーへ持ち出す（Exfiltration）。
第2段階: 社内システムを暗号化し、業務を停止させる。
脅迫: 「身代金を払わなければ、盗んだデータをリークサイトで公開する」と脅す。

三重・四重の脅迫へ

さらに、DDoS攻撃を加えてWebサイトをダウンさせる（三重脅迫）や、被害企業の顧客や取引先に直接連絡して「お宅のデータを持っいる」と圧力をかける（四重脅迫）ケースへとエスカレートしています。

2. 【シミュレーション分析】アサヒビール・アスクルは脅迫にどう直面したか？

ここでは、日本を代表する企業が標的となった場合の深刻なシナリオをシミュレートします。

ケース①：アサヒビール（製造業モデル・シミュレーション）

状況: 海外拠点のVPNから侵入され、本社工場（OT系）の生産ラインが停止。
身代金請求の焦点:
このケースでは、工場の稼働停止による「機会損失」が人質に取られます。ビールが出荷できなければ、物流網全体が混乱し、損害は数十億円規模に達します。攻撃者は、システム復旧のための復号キーと引き換えに巨額の身代金を要求します。

Asahiランサムウェア事件まとめ：被害状況と原因は？感染経路から復旧の時系列まで徹底解説

アサヒグループ・ランサムウェア被害の全貌と原因を徹底解説。攻撃者「Qilin」の手口、損害額500億円の内訳、工場停止から復旧までの時系列を調査。製造業が直面するサプライチェーンリスクと、ゼロトラストによる生存戦略を提言します。

ケース②：アスクル（Eコマースモデル・シミュレーション）

状況: 物流エッジデバイス等から侵入され、顧客データベースが侵害される。
身代金請求の焦点:
ここでは「顧客情報の漏洩」が最大の人質です。BtoBおよびBtoCの膨大な顧客データを持つ同社に対し、攻撃者は「データを公開する」と脅迫します。GDPRや改正個人情報保護法に基づく制裁金、そして社会的信用の失墜を天秤にかけさせ、支払いを強要します。

ASKULランサムウェア事件まとめ：被害の全容、原因・損害額、無印/ロフトへの影響、復旧までを徹底解剖

ASKULランサムウェア被害の現在と全容を解説。攻撃の原因、損害額120億円の内訳、無印・ロフトへの影響から復旧までの120日間を徹底調査。組織が直面した「物流停止」と「手作業復旧」の限界から、企業の生存戦略を提言します。

3. 「身代金を支払う」という選択の末路

「お金で解決できるなら……」と支払いを検討する経営者もいますが、ZTRラボはそれが「解決策にはならない」と警告します。

支払ってもデータは守られない

JBSやColonial Pipelineの事例が示すように、身代金を支払ったとしても、データが確実に返還される保証はありません。

復号できない:
送られてきた復号ツールが不完全で、データが壊れたまま戻らないケースがあります。
二重の恐喝:
「金払いが良いカモ」と見なされ、後日再び攻撃されたり、追加の支払いを要求されたりするリスクが残ります。

社会的・法的リスク

身代金の支払いは、反社会的勢力（テロリストや犯罪組織）への資金提供と見なされる可能性があります。また、支払った事実自体が漏れれば、企業のガバナンス欠如としてさらなる批判を招きます。

4. 支払いを拒否するための「唯一の生存戦略」

脅迫に屈しないためには、「身代金を払わなくても事業を継続できる」体制を作るしかありません。ZTRラボは以下の2点を提言します。

① 攻撃者も消せない「イミュータブルバックアップ」

ランサムウェアは、侵入すると真っ先にバックアップを破壊しに来ます。
これに対抗するため、「書き換え不可（イミュータブル）」なバックアップを導入します。AWS S3 Object Lockやオフラインメディア（テープ等）を使用し、たとえ管理者権限を奪われても、データが削除・変更されない状態を確保します。これがあれば、システムの暗号化に対する脅迫は無効化できます。

② 情報漏洩リスクを減らす「ゼロトラスト」

データの持ち出し（漏洩）を防ぐには、侵入後の動きを封じるしかありません。

マイクロセグメンテーション:
ネットワークを細かく区切り、重要データサーバーへのアクセスを厳格に制限します。
データの暗号化:
万が一持ち出されても、データ自体が暗号化されていれば、攻撃者は中身を閲覧・公開できません。

まとめ：経営者が下すべき決断とは

身代金は払うべきではありません。
しかし、払わずに済むかどうかは、事前の準備にかかっています。

アサヒビールやアスクルのシミュレーション事例が教えるのは、「侵入されることを前提」としたバックアップと防御体制（ゼロトラスト）がない企業は、最終的に支払いを余儀なくされるという冷徹な現実です。

「もし明日、画面に脅迫文が表示されたら？」
その時、胸を張って「支払わない」と言えるよう、今すぐイミュータブルバックアップの導入と、VPN機器の脆弱性点検を開始してください。