2026年3月27日、日本情報経済社会推進協会(JIPDEC)は、国内の企業を対象に実施した「企業IT利活用動向調査2026」の結果を公表。
データを暗号化して身代金を要求する「ランサムウェア」の被害を受けた企業は全体の半数近くに上り、身代金を支払ってもシステムやデータが復旧できなかった企業が約6割に達するなど、深刻なサイバー攻撃の実態がわかっている。
本調査は2026年1月16日から20日にかけて、従業員50人以上の国内企業のIT戦略や情報セキュリティ担当者(係長級以上)を対象にWebアンケート形式で実施。
1107社の有効回答を基に作成されている。
身代金を支払っても約6割が「復旧できず」
レポートによると、ランサムウェアによる感染被害を経験した企業は全体の45.8パーセントにあたる507社に上っていた。
前回調査から若干減少したものの、大企業と中小企業の被害率がほぼ同等であるなど、企業規模や業種を問わず攻撃対象が拡大していることが報告されている。
中でも製造業の被害は顕著であり、57.1パーセントが被害を経験していたという。
被害を受けた企業における身代金支払いの動向を見ると、支払いに応じた企業は被害企業全体の約43.8パーセントにあたる222社となり、被害企業に対する支払い率は2024年調査の57.0パーセントから年々減少。
身代金を支払わないケースが増加傾向にあることが明らかになった。
特筆すべき点として、身代金を支払った222社のうち、実際にシステムやデータを復旧できたのは83社にとどまり、約6割にあたる139社は支払ったにもかかわらず復旧できなかったこと。
製造業単体で見ても、支払ったのに復旧できなかった割合が18.2パーセントと高い水準であることが示されている。
高まる「復旧不能」リスク
その一方で、身代金を支払わずに自力で復旧できた企業も141社存在。
しかし、支払わずにシステムが復旧できなかった割合も前回調査の10.5パーセントから13.0パーセントへと悪化していたことから、いずれの対応においても復旧不能に陥るリスクが高まっていることが伺える結果がみえた。
システム復旧に要した期間は、身代金支払いの有無にかかわらず「1週間から1か月以内」が34.7パーセントで最多。
身代金を支払わずに自力で復旧できた企業のうち、6割以上が1か月以内に作業を完了させている。
その反面、長期間の作業を続けても復旧を断念せざるを得なかったケースも確認されている。
被害額1億円超え、データ喪失や情報流出が事業を直撃
感染被害に伴う原因究明や復旧作業、セキュリティ対策、身代金などの金銭的被害額については、「100万円から5000万円未満」が約半数を占めて最も多い結果となっている。
被害額がほとんど発生しなかったケースが16.0パーセントあった一方で、1億円から10億円以上という甚大な被害が生じたケースも15.6パーセントに上り、経済的影響の深刻さがみえる。
被害による影響として最も多かったのは「復元不能なデータ喪失・データ破損」で、51.3パーセント。
次いで「顧客情報・取引先情報の機密情報流出」が35.1パーセントとなり、前回調査から5.8ポイント増加していた。
さらに業務停止や売上減少といった影響も増加傾向にあり、ランサムウェアの脅威がデータ保護や事業継続を大きく揺るがしており、今後の脅威動向に対しさらなる警戒が求められている。