ランサムウェア身代金、支払うべきか、支払わないべきか 最新事情から考える

　同調査によると「日本における身代金の支払率は32％と、世界平均の54％と比べて圧倒的に低い値」を示していました。調査では、日本は前年と比べて14ポイントも支払率が上昇したにもかかわらず、それでも世界的に見れば低い水準だとされています。

　さらに、身代金を支払ったにもかかわらずデータやシステムが復旧したのは「日本は17％にすぎず、身代金を支払っても復旧がスムーズに進む確率は高くない」とまとめられています。

　この他、ウィズセキュアが公開したレポートについても見てみましょう。2024年9月4日に公開された「最新ランサムウェア脅威レポート 2024年上半期版」を見ると、ランサムウェア業界の規模はほぼ横ばいですが、攻撃件数や身代金の支払額は上昇傾向にあるようです。

　このレポートでは、ランサムウェアグループの中でも内部分裂が起き、攻撃実務を担当したアフィリエイトが、使用したランサムウェアを製作したグループ「ALPHV」からの支払いを受けられず、攻撃者同士での詐欺が実行されたという事件にも触れられています。

　ランサムウェア被害者から見れば“信頼”すべき攻撃者（アフィリエイト）に身代金を支払ったとしても、ランサムウェアグループからは支払いを受けられないため、身代金の払い損となります。ここからも身代金を支払ったときのリスクが見えてきます。

●ランサムウェアグループはなりふり構わない　被害は中小企業にまで

　同レポートでは、ランサムウェアのターゲットが小規模企業になりつつあることも触れられています。ランサムウェアは攻撃側にとって高コストになりつつあること、被害者からの支払率が低くなっていることから、より多くの組織に攻撃を仕掛けなければならない状況が見えてきます。

　これらを踏まえても、筆者は「身代金を絶対に支払ってはならない」とは断言できません。なぜなら「実際に被害に遭い、事業を継続しなければならない」という切実な状況にある組織にとって、選択肢を最初からなくすのは非情だと思うからです。

　ただし最新の情報を見る限り、かつてのようにランサムウェアのエコシステムが“信頼”を重視し、ビジネスとしてランサムウェア攻撃を仕掛けているとは思えなくなってきているのが実情です。企業はこの現状を頭に入れた上で、身代金の支払いを決断する必要があるでしょう。また、身代金を支払った際には「なぜ支払ったのか」について説明責任も果たせるように準備しておくことが重要です。