身代金要求額が平均1億円超でも86%が拒否できた理由と日本企業の備えの落差

米国サンフランシスコを拠点とするサイバー保険会社Coalition（コアリション）は、2025年の保険請求データを分析した「2026 Cyber Claims Report（2026年版サイバー請求報告書）」を2026年3月5日公開の記事で報じた。同社は保険契約にリアルタイムのセキュリティ監視とインシデント対応支援を組み合わせた「アクティブ保険」モデルを世界で初めて提供した企業で、世界10万社以上に同サービスを展開している。

同報告書によると、2025年におけるランサムウェア（企業のデータを暗号化して使用不能にし、復号と引き換えに身代金を要求する悪意あるソフトウェア）の初回要求額は前年比47%増加し、平均100万ドル（約1億5,000万円 ※1ドル150円換算）を超えたという。要求額が過去最高水準に達した一方で、攻撃を受けた企業の86%が身代金の支払いを拒否したとCoalitionは報じた。支払いを拒否した企業に対してCoalitionが行った交渉では、平均65%の減額を実現したとしている。なお、ランサムウェア攻撃1件当たりの平均損失額は269,000ドル（約4,035万円 ※同換算）と報告された。

同報告書が特に注目する攻撃手法が「二重恐喝（Dual Extortion）」である。これはデータの暗号化に加えて窃取したデータを公開すると脅迫する手口で、支払い拒否時のプレッシャーを高める近年主流の攻撃手口だという。2025年のランサムウェア被害の70%がこの二重恐喝型であり、暗号化のみの場合と比較して被害額が2倍以上になるとCoalitionは報じた。攻撃者側が要求額を大幅に引き上げている背景には、この二重恐喝モデルの普及があるとみられている。

ランサムウェアへの注目が高まる一方で、同報告書では保険請求全体の件数を見るとBEC（ビジネスメール詐欺：経営幹部や取引先を装った偽メールで従業員を騙し、不正な口座への送金や機密情報の詐取を行うサイバー犯罪手法）とFTF（資金振込詐欺：BECなどを起点に企業の正規の送金プロセスを悪用して資金を詐取する攻撃手法）が全体の58%を占めており、件数ベースではランサムウェアを上回るとしている。盗まれた資金については、Coalitionの対応支援により総額2,180万ドル（約32億7,000万円 ※同換算）が回収されたといい、1件当たりの平均回収額は202,000ドル（約3,030万円 ※同換算）だったという。

企業規模と被害リスクの関係についても同報告書は言及しており、売上高1億ドル（約150億円 ※同換算）超の大企業は、中小企業と比較して保険請求の発生頻度が5倍に上ることが示されたという。規模が大きい組織ほど攻撃者に狙われやすく、より高度なリスク管理体制が求められる構造が数字でも裏付けられた形だとCoalitionは報じた。一方で、請求案件全体の重篤度（平均損失額）は前年比19%減の平均約111,000ドル（約1,665万円 ※同換算）と低下しており、全体の64%の請求案件が企業側の自己負担ゼロで解決したとしている。

Coalitionは今回の報告書の背景として、保険・対応支援・バックアップ整備の三位一体の取り組みによって、企業が攻撃者の要求を拒否できる環境が整いつつあると指摘している。ブロックチェーン分析会社の調査でも、2025年のオンチェーン（ブロックチェーン上で追跡可能な）身代金支払いが8%減少したことが確認されており、世界全体でも支払い拒否の傾向が強まっているとCoalitionは報じた。身代金要求額が過去最高水準に達しながらも支払い拒否率が86%に達したことは、「支払えば問題が解決する」というランサムウェアのビジネスモデルが崩壊しつつあることを示すと同社は分析している。