データが人質に!「ランサムウェア身代金」払うべき? 世界各国の統計から考える
ランサムウェア攻撃が増加しており、身代金を支払うかどうかの問題が深刻化している。
国際的に身代金支払いを慎重にする動きがある一方、組織は復旧やリスク管理の観点から支払う場合もある。
重要インフラや機関は停止が国民生活にもたらす影響から、身代金支払いを余儀なくされる事例もある。
出版大手のKADOKAWAが被害を受けたことが記憶に新しいが、昨今、ランサムウェア攻撃が後を絶たない。データを暗号化してデータを元に戻す見返りに身代金を要求したり、盗んだデータを公開すると脅したりするものだ。では攻撃を受けたら、身代金を支払うべきか、支払わないべきか。世界各国のランサムウェア感染に関する統計を見ながら考えていこう。
■「支払わざるをえない」現実もある
身代金を支払ってしまうと、犯罪者の懐を肥やすだけでなく、犯罪者の攻撃ツールをアップグレードさせ、さらなる高度な攻撃が繰り出されるようになる。また、味をしめた攻撃者が再び同様の犯罪を繰り返すことになってしまう。
そのため、2023年10月に開催された国際会議において、日本を含む世界50カ国・地域がサイバー攻撃に対して身代金を支払わないことに合意し、民間企業にも身代金を支払わないよう要請することが決まった。
サイバー脅威の全体を見渡せば、身代金を支払わない選択肢が正しいことは間違いない。
しかし、攻撃を受けた組織がこの問題を考えるとき、そう簡単に「支払わない」という選択を取れないことも多い。身代金を支払わないことによって、業務が復旧できないリスク、顧客のデータが公開されるリスク、最悪の場合には倒産するリスク、さまざまな観点を加味する必要がある。
とくに重要インフラなどは、システムの停止が国民の生活や安全に直結することもある。実際、アメリカ最大の石油パイプライン会社コロニアル・パイプラインは、ハッカーに対して440万ドル(当時のレートで約4億8000万円)を支払った。なぜならば、この会社は米東海岸で消費されるガソリンの半分を担っており、ランサムウェア攻撃による国民生活への影響が甚大だったからだ。
ランサムウェア攻撃を受けた、ある精神科病院は当初、身代金の支払いを渋った。すると、攻撃者は患者データを1日100人ずつ公開した。その後、300人のデータが公開された時点で攻撃者はデータの公開を停止。患者かあるいは患者からの圧力を受けた病院側が身代金を支払った可能性が高い。
