ランサムウェアの身代金を支払ったとしたら、どうなるのか。各国のデータをもとに見ていく(写真:vchal/Getty Images)

出版大手のKADOKAWAが被害を受けたことが記憶に新しいが、昨今、ランサムウェア攻撃が後を絶たない。データを暗号化してデータを元に戻す見返りに身代金を要求したり、盗んだデータを公開すると脅したりするものだ。では攻撃を受けたら、身代金を支払うべきか、支払わないべきか。世界各国のランサムウェア感染に関する統計を見ながら考えていこう。

「支払わざるをえない」現実もある

身代金を支払ってしまうと、犯罪者の懐を肥やすだけでなく、犯罪者の攻撃ツールをアップグレードさせ、さらなる高度な攻撃が繰り出されるようになる。また、味をしめた攻撃者が再び同様の犯罪を繰り返すことになってしまう。


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

そのため、2023年10月に開催された国際会議において、日本を含む世界50カ国・地域がサイバー攻撃に対して身代金を支払わないことに合意し、民間企業にも身代金を支払わないよう要請することが決まった。

サイバー脅威の全体を見渡せば、身代金を支払わない選択肢が正しいことは間違いない。

しかし、攻撃を受けた組織がこの問題を考えるとき、そう簡単に「支払わない」という選択を取れないことも多い。身代金を支払わないことによって、業務が復旧できないリスク、顧客のデータが公開されるリスク、最悪の場合には倒産するリスク、さまざまな観点を加味する必要がある。

とくに重要インフラなどは、システムの停止が国民の生活や安全に直結することもある。実際、アメリカ最大の石油パイプライン会社コロニアル・パイプラインは、ハッカーに対して440万ドル(当時のレートで約4億8000万円)を支払った。なぜならば、この会社は米東海岸で消費されるガソリンの半分を担っており、ランサムウェア攻撃による国民生活への影響が甚大だったからだ。

ランサムウェア攻撃を受けた、ある精神科病院は当初、身代金の支払いを渋った。すると、攻撃者は患者データを1日100人ずつ公開した。その後、300人のデータが公開された時点で攻撃者はデータの公開を停止。患者かあるいは患者からの圧力を受けた病院側が身代金を支払った可能性が高い。

つまりサイバー脅威全体から考えれば支払わないことが正しくても、被害組織の個々の立場で考えると、被害の状況、影響の度合い、復旧の可能性などから、やむをえず「支払う」という選択肢を取る場合もある。要は経営判断なのだ。

日本は世界でも有数の身代金を支払わない国

プルーフポイントでは、以前より世界各国のランサムウェア感染に関する統計を取り、その結果を公開している。

2023年の間に、一度でもランサムウェア攻撃を受けた企業の割合は、世界平均は前年より5ポイント上昇して69%だったものの、日本は前年より30ポイント減少して38%だった。

2024年現在、ランサムウェア攻撃は増えているように感じるが、この統計によると、2023年の段階では調査対象15カ国の中で日本は最もランサムウェア攻撃を受けていなかったことが分かる。


またランサムウェアに感染した企業の中で、身代金を支払ったかどうかについては、以下のグラフを参照されたい。

世界全体として身代金を支払わない傾向に移っており、世界平均は昨年より10ポイント減少し54%。日本は2020年、2021年、2022年と世界で最も身代金を支払わない国であったが、2023年はイタリア、フランスに次いで3位。しかし依然として支払い率は低く、32%の企業しか支払っていないことが分かる。


日本が従来から、他の国と比較して身代金を支払わない傾向にある理由としては以下が考えられる。

1. 災害大国であるため、バックアップの導入が普及しており、修復することができる

2. 反社会的勢力に対する利益供与を避ける社会的概念が浸透している

3. 日本のサイバー保険の補償範囲に身代金支払いが含まれていない (最近は、海外でも保険による身代金支払の補償は受けられない傾向になりつつある)

考えておきたい二重脅迫、三重脅迫のリスク

経営判断の結果、身代金を支払うと決めることもあるだろう。その際にもう1つ参考にしてもらいたいデータがある。身代金を支払った結果の統計である。


一度の身代金支払いでデータやシステムを復旧できた(一番下のバー)のは世界平均で41%、日本は最も低く17%しかないことが分かる。タチの悪いことに脅迫は1度では済まず、2度、3度と行われる可能性が高い。つまり、身代金を支払う際には、支払った後に追加の要求が来ることを覚悟しなければならない。

攻撃者は、脅迫手段として「データを公開するぞ」と脅し、身代金を支払った場合は攻撃者が保持しているデータを削除することを約束する。しかし、今年2月に各国の司法当局の合同捜査により、摘発されたLockbitと呼ばれるランサムウェアグループのリークサイトを調べたところ、削除することを約束したデータが削除されていなかったことも発覚している。

相手は犯罪者である。約束した通りに、データを削除してくれる保証はどこにもない。

身代金の支払いで、再び「カモにされる」危険性

一度身代金を支払うと、攻撃者のリークサイトからその企業の名前が削除される。つまり、リークサイトを定期的にチェックしている別の攻撃者にも、その企業が身代金を支払ったであろうことが知られてしまう。「身代金を支払う企業である」というレッテルがつけば、再びランサムウェア攻撃の標的となる可能性は高くなる。

あるランサムウェア攻撃グループに襲われたゲーム企業やグローバル製造業が、時間をあけずに別のランサムウェアグループからの攻撃を受けたことを覚えているだろうか。セキュリティ企業Cybereasonのデータでは、身代金を支払った企業のうち82%は1年以内に再び攻撃を受けるという。

また今回提示した3つのグラフの中で、ドイツに注目してほしい。ドイツは15カ国の中で、最もランサムウェアの感染率も高く、また支払い率も最も高い。1度の支払いでデータが戻る率も比較的高いことがうかがえる。

これは、1度の支払いでデータが戻る可能性が高いために、被害者は身代金を払い、また身代金が支払われるからこそ、攻撃者のターゲットになっているという負の循環が生まれている可能性がある。

身代金を支払うことは短期的、またイチ組織としての解決にはなりえるが、長期的にはさらなるサイバー攻撃の激化を招くことは必至。企業はバックアップやセキュリティ対策を徹底し、なるべく身代金を支払わない方針を貫くことができるように事前に備える必要がある。

サイバー攻撃は「守る側」が不利

セキュリティ事案が年々増える中、企業を守るセキュリティ部門への期待が大きくなっている。プルーフポイントが出したレポート「2024 Voice of the CISO」では、66%のCISO(Chief Information Security Officer、最高情報セキュリティ責任者)が自分に対する組織の期待が過剰であると回答している。

サイバー攻撃は圧倒的に攻撃側が有利であり、守る側が不利とされる世界。99.9%の攻撃を防げたとしても、たった1つの攻撃を逃しただけで、セキュリティ担当者は責めを負う。

日本においては、セキュリティ人材が11万人不足していると叫ばれる中、今いるセキュリティメンバーが燃え尽き症候群によってセキュリティ分野から遠のいてしまうことにぜひ危機意識を持ってほしい。

サイバー攻撃に遭うと、とたんに被害者は加害者として見られる傾向があるが、悪いのはあくまでも犯罪者。ぜひ、日ごろからセキュリティチームを応援する温かい目を持っていただきたい。

(増田 幸美 : 日本プルーフポイント チーフエバンジェリスト)