データが人質｢ランサムウェア身代金｣払うべき？ 日本は他国に比べ｢支払わない｣傾向にあるワケ

ランサムウェアの身代金を支払ったとしたら、どうなるのか。各国のデータをもとに見ていく（写真：vchal/Getty Images）

出版大手のKADOKAWAが被害を受けたことが記憶に新しいが、昨今、ランサムウェア攻撃が後を絶たない。データを暗号化してデータを元に戻す見返りに身代金を要求したり、盗んだデータを公開すると脅したりするものだ。では攻撃を受けたら、身代金を支払うべきか、支払わないべきか。世界各国のランサムウェア感染に関する統計を見ながら考えていこう。

「支払わざるをえない」現実もある

身代金を支払ってしまうと、犯罪者の懐を肥やすだけでなく、犯罪者の攻撃ツールをアップグレードさせ、さらなる高度な攻撃が繰り出されるようになる。また、味をしめた攻撃者が再び同様の犯罪を繰り返すことになってしまう。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

そのため、2023年10月に開催された国際会議において、日本を含む世界50カ国・地域がサイバー攻撃に対して身代金を支払わないことに合意し、民間企業にも身代金を支払わないよう要請することが決まった。

サイバー脅威の全体を見渡せば、身代金を支払わない選択肢が正しいことは間違いない。

しかし、攻撃を受けた組織がこの問題を考えるとき、そう簡単に「支払わない」という選択を取れないことも多い。身代金を支払わないことによって、業務が復旧できないリスク、顧客のデータが公開されるリスク、最悪の場合には倒産するリスク、さまざまな観点を加味する必要がある。