ランサムウェアの身代金、300万円以上支払った人も：セキュリティ最初の一歩

トレンドマイクロが「企業におけるランサムウェア実態調査2016」を発表。暗号化されてしまった被害者の6割が身代金を支払ったという。

[キーマンズネット]

　トレンドマイクロは8月1日、調査レポート「企業におけるランサムウェア実態調査2016」を発表しました。これは、企業や組織のITに関する意思決定者および関与者534人を対象に実施したオンラインアンケート（調査期間は2016年6月29〜30日）の結果をまとめたものです。

「中小企業だから被害に遭わない」という誤解

　勤務先がランサムウェアの攻撃に遭う可能性があると思うかどうかを問いかけたところ、34.8％が「思わない」と回答しています。その理由を深堀りしてみると「セキュリティ対策をしている」（60.2％）、「自社は大企業または有名企業ではないから」（45.7％）といった回答が多く寄せられています。

　トレンドマイクロでは、「ランサムウェアは大企業や有名企業だけを狙って攻撃される脅威ではなく、業種規模問わずあらゆる企業が感染する可能性があります」として、多くの企業が誤った認識を持っていると警鐘を鳴らします。

図1 被害に遭う可能性がないと思う理由（複数回答、回答者数186人、出典：トレンドマイクロ）

　また、ランサムウェア対策として有効なエンドポイント対策やIDS／IPSなどの対策製品の導入状況について聞いたところ、「導入している」と回答した人は全体の33.3％にすぎないことも分かりました。この数字は、特に従業員数49人以下の企業では5.7％まで下がります。

図2 ランサムウェア対策の導入率。ここでいう対策とはランサムウェアに有効である、エンドポイント対策やIDS／IPSの導入などのセキュリティ対策を指す（単一回答、回答者数534人、出典：トレンドマイクロ）

被害者の6割以上が身代金を支払ったことがある

　調査では、回答者全体のおよそ4人に1人となる134人が「勤務先が実際にランサムウェアの攻撃に遭ったことがある」と答えています。そのうち、「ファイル（データ）が暗号化された」と答えた人は99人でした。

　この99人に対して「身代金の支払いの有無」を聞くと、実際に62人が身代金を支払っていました。その金額はまちまちですが、「200万〜299万円以下」「300万〜399万円以下」「1000万円以上」がそれぞれ16.1％で最も多く、300万円以上を支払った人でまとめると57.9％に達します。

図3 身代金の支払い経験とその金額

　しかし、トレンドマイクロでは「身代金は支払うべきではない」とコメントします。その理由として、身代金を支払ってもファイル（データ）が完全に戻る保証がないこと、犯罪者に金銭と同時に企業名などの情報を渡してしまうことで次なる攻撃の標的となる可能性が考えられることを挙げています。