データが人質｢ランサムウェア身代金｣払うべき？ 日本は他国に比べ｢支払わない｣傾向にあるワケ

プルーフポイントでは、以前より世界各国のランサムウェア感染に関する統計を取り、その結果を公開している。

2023年の間に、一度でもランサムウェア攻撃を受けた企業の割合は、世界平均は前年より5ポイント上昇して69%だったものの、日本は前年より30ポイント減少して38%だった。

2024年現在、ランサムウェア攻撃は増えているように感じるが、この統計によると、2023年の段階では調査対象15カ国の中で日本は最もランサムウェア攻撃を受けていなかったことが分かる。

またランサムウェアに感染した企業の中で、身代金を支払ったかどうかについては、以下のグラフを参照されたい。

世界全体として身代金を支払わない傾向に移っており、世界平均は昨年より10ポイント減少し54%。日本は2020年、2021年、2022年と世界で最も身代金を支払わない国であったが、2023年はイタリア、フランスに次いで3位。しかし依然として支払い率は低く、32%の企業しか支払っていないことが分かる。

日本が従来から、他の国と比較して身代金を支払わない傾向にある理由としては以下が考えられる。

1. 災害大国であるため、バックアップの導入が普及しており、修復することができる

2. 反社会的勢力に対する利益供与を避ける社会的概念が浸透している

3. 日本のサイバー保険の補償範囲に身代金支払いが含まれていない （最近は、海外でも保険による身代金支払の補償は受けられない傾向になりつつある）

考えておきたい二重脅迫、三重脅迫のリスク

経営判断の結果、身代金を支払うと決めることもあるだろう。その際にもう1つ参考にしてもらいたいデータがある。身代金を支払った結果の統計である。

一度の身代金支払いでデータやシステムを復旧できた（一番下のバー）のは世界平均で41%、日本は最も低く17%しかないことが分かる。タチの悪いことに脅迫は1度では済まず、2度、3度と行われる可能性が高い。つまり、身代金を支払う際には、支払った後に追加の要求が来ることを覚悟しなければならない。

攻撃者は、脅迫手段として「データを公開するぞ」と脅し、身代金を支払った場合は攻撃者が保持しているデータを削除することを約束する。しかし、今年2月に各国の司法当局の合同捜査により、摘発されたLockbitと呼ばれるランサムウェアグループのリークサイトを調べたところ、削除することを約束したデータが削除されていなかったことも発覚している。