データが人質｢ランサムウェア身代金｣払うべき？ 日本は他国に比べ｢支払わない｣傾向にあるワケ

ランサムウェアの身代金を支払ったとしたら、どうなるのか。各国のデータをもとに見ていく（写真：vchal/Getty Images）

出版大手のKADOKAWAが被害を受けたことが記憶に新しいが、昨今、ランサムウェア攻撃が後を絶たない。データを暗号化してデータを元に戻す見返りに身代金を要求したり、盗んだデータを公開すると脅したりするものだ。では攻撃を受けたら、身代金を支払うべきか、支払わないべきか。世界各国のランサムウェア感染に関する統計を見ながら考えていこう。

【グラフを見る】ランサムウェア感染率15カ国比較（2023年）。日本は最も感染率が低い

「支払わざるをえない」現実もある

身代金を支払ってしまうと、犯罪者の懐を肥やすだけでなく、犯罪者の攻撃ツールをアップグレードさせ、さらなる高度な攻撃が繰り出されるようになる。また、味をしめた攻撃者が再び同様の犯罪を繰り返すことになってしまう。

そのため、2023年10月に開催された国際会議において、日本を含む世界50カ国・地域がサイバー攻撃に対して身代金を支払わないことに合意し、民間企業にも身代金を支払わないよう要請することが決まった。

サイバー脅威の全体を見渡せば、身代金を支払わない選択肢が正しいことは間違いない。

しかし、攻撃を受けた組織がこの問題を考えるとき、そう簡単に「支払わない」という選択を取れないことも多い。身代金を支払わないことによって、業務が復旧できないリスク、顧客のデータが公開されるリスク、最悪の場合には倒産するリスク、さまざまな観点を加味する必要がある。

とくに重要インフラなどは、システムの停止が国民の生活や安全に直結することもある。実際、アメリカ最大の石油パイプライン会社コロニアル・パイプラインは、ハッカーに対して440万ドル（当時のレートで約4億8000万円）を支払った。なぜならば、この会社は米東海岸で消費されるガソリンの半分を担っており、ランサムウェア攻撃による国民生活への影響が甚大だったからだ。

ランサムウェア攻撃を受けた、ある精神科病院は当初、身代金の支払いを渋った。すると、攻撃者は患者データを1日100人ずつ公開した。その後、300人のデータが公開された時点で攻撃者はデータの公開を停止。患者かあるいは患者からの圧力を受けた病院側が身代金を支払った可能性が高い。

つまりサイバー脅威全体から考えれば支払わないことが正しくても、被害組織の個々の立場で考えると、被害の状況、影響の度合い、復旧の可能性などから、やむをえず「支払う」という選択肢を取る場合もある。要は経営判断なのだ。

日本は世界でも有数の身代金を支払わない国