ここ2~3年のランサムウエア攻撃の猛威により世界中の企業が被害に遭い、一部の企業は身代金を支払うことを余儀なくされた。しかし、その行為によって犯罪者が組織を拡大し、さらなる攻撃を増やすという悪循環が発生している。

 こうした中、世界各国の政府や捜査機関では、身代金の支払いに規制をかけようとする動きが出てきている。本記事では、過去の身代金支払い事例を踏まえたうえで、身代金の支払いに対する規制動向を見ていく。

(出所:123RF)
(出所:123RF)

2021年に高額の身代金支払い事案が発生

 2021年には、ランサムウエアの被害に遭い多額の身代金(ランサム)を支払った企業が明らかになっている(表1)。

表1●2021年に身代金を支払ったとされるランサムウエア被害組織(一部)
時期被害組織身代金
支払い額
備考
2021年
1月
FatFace(英国の小売企業)200万
ドル
従業員の銀行口座情報と国民保険番号、顧客の個人情報が暴露される危険を回避するために身代金を支払った
2021年
3月
CNA Financial(米国の保険会社)4000万
ドル
攻撃者は当初6000万ドルを要求したが、交渉の結果、3月下旬に4000万ドルの身代金を支払った
2021年
5月
コロニアルパイプライン(米国の石油パイプライン企業)440万
ドル
米国東海岸のガス供給が途絶えてしまうのではないかという懸念から、CEO(最高経営責任者)が身代金を支払う決断をした(後にFBIが身代金の大部分を押収)
2021年
5月
JBSフーズ(ブラジルの食肉加工企業)1100万
ドル
CEOは「顧客の潜在的なリスクを防ぐために、身代金を支払う決定を下す必要があると感じた。米国のすべての工場での食肉処理を1日停止することを余儀なくされ、その混乱は食料供給を脅かし、食料価格を上昇させるリスクがあった」と述べている
2021年
5月
ブレンターク(ドイツの化学薬品商社)440万
ドル
盗まれた150GBのデータを取り戻すために身代金を支払った

 サイバーセキュリティ会社の英Sophosが実施した独自の調査によれば、2021年にランサムウエアの被害に遭った組織は全体の37%に上った。同調査は、世界30カ国・地域の中規模組織、計5400人のITマネジャーを対象としたものである。

 実は2021年の数値は、2020年の51%から減少している。ただし被害数が減っているからといって、ランサムウエア攻撃が沈静化に向かっているわけではない。攻撃による復旧費用や身代金の支払費用など、経済的影響は2倍以上になったという。1回当たりの被害額は、2020年は76万ドルだったものが、2021年には185万ドルに増加した。これは、攻撃者による攻撃手法が高度化・複雑化したためだ。回復がより困難になって復旧費用がかさんだり、多額の身代金を支払わざるを得なくなったりしているのである。

 身代金を支払う被害者も増えている。データを取り戻すために身代金を支払った組織の数は、2020年の26%から2021年には32%に増加した。しかしSophosのリポートは、身代金の支払いは報われないと警告する。その理由は、身代金を支払った後に全てのデータを取り戻せる可能性が非常に低いことにある。暗号化された全てのデータを取り戻すことができた組織は8%に満たず、29%はデータの半分以下しか取り戻せていない。身代金を支払った組織が取り戻せたデータの平均は65%だったという。

 一方、サイバーセキュリティ会社の米ThycoticCentrify(現Delinea)が出したリポート「2021 State of Ransomware Survey & Report」によると、過去12カ月間に調査対象の64%がランサムウエア攻撃の被害者となり、その83%が身代金を支払ったとしている。同社の調査は、米国を拠点とする組織に勤める300人のIT意思決定者を対象としたものだ。米国内を対象としたことが影響したのか、この調査では、世界30カ国・地域の組織を対象としたSophosの調査結果の32%に比べて格段に高い83%が身代金を支払ったという驚くべき数字となっている。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。