データが人質に!「ランサムウェア身代金」払うべき? 世界各国の統計から考える
つまりサイバー脅威全体から考えれば支払わないことが正しくても、被害組織の個々の立場で考えると、被害の状況、影響の度合い、復旧の可能性などから、やむをえず「支払う」という選択肢を取る場合もある。要は経営判断なのだ。 ■日本は世界でも有数の身代金を支払わない国 プルーフポイントでは、以前より世界各国のランサムウェア感染に関する統計を取り、その結果を公開している。 2023年の間に、一度でもランサムウェア攻撃を受けた企業の割合は、世界平均は前年より5ポイント上昇して69%だったものの、日本は前年より30ポイント減少して38%だった。
2024年現在、ランサムウェア攻撃は増えているように感じるが、この統計によると、2023年の段階では調査対象15カ国の中で日本は最もランサムウェア攻撃を受けていなかったことが分かる。 またランサムウェアに感染した企業の中で、身代金を支払ったかどうかについては、以下のグラフを参照されたい。 世界全体として身代金を支払わない傾向に移っており、世界平均は昨年より10ポイント減少し54%。日本は2020年、2021年、2022年と世界で最も身代金を支払わない国であったが、2023年はイタリア、フランスに次いで3位。しかし依然として支払い率は低く、32%の企業しか支払っていないことが分かる。
日本が従来から、他の国と比較して身代金を支払わない傾向にある理由としては以下が考えられる。 1. 災害大国であるため、バックアップの導入が普及しており、修復することができる 2. 反社会的勢力に対する利益供与を避ける社会的概念が浸透している 3. 日本のサイバー保険の補償範囲に身代金支払いが含まれていない (最近は、海外でも保険による身代金支払の補償は受けられない傾向になりつつある) ■考えておきたい二重脅迫、三重脅迫のリスク
経営判断の結果、身代金を支払うと決めることもあるだろう。その際にもう1つ参考にしてもらいたいデータがある。身代金を支払った結果の統計である。 一度の身代金支払いでデータやシステムを復旧できた(一番下のバー)のは世界平均で41%、日本は最も低く17%しかないことが分かる。タチの悪いことに脅迫は1度では済まず、2度、3度と行われる可能性が高い。つまり、身代金を支払う際には、支払った後に追加の要求が来ることを覚悟しなければならない。