データが人質｢ランサムウェア身代金｣払うべき？ 日本は他国に比べ｢支払わない｣傾向にあるワケ

とくに重要インフラなどは、システムの停止が国民の生活や安全に直結することもある。実際、アメリカ最大の石油パイプライン会社コロニアル・パイプラインは、ハッカーに対して440万ドル（当時のレートで約4億8000万円）を支払った。なぜならば、この会社は米東海岸で消費されるガソリンの半分を担っており、ランサムウェア攻撃による国民生活への影響が甚大だったからだ。

ランサムウェア攻撃を受けた、ある精神科病院は当初、身代金の支払いを渋った。すると、攻撃者は患者データを1日100人ずつ公開した。その後、300人のデータが公開された時点で攻撃者はデータの公開を停止。患者かあるいは患者からの圧力を受けた病院側が身代金を支払った可能性が高い。

つまりサイバー脅威全体から考えれば支払わないことが正しくても、被害組織の個々の立場で考えると、被害の状況、影響の度合い、復旧の可能性などから、やむをえず「支払う」という選択肢を取る場合もある。要は経営判断なのだ。

日本は世界でも有数の身代金を支払わない国

プルーフポイントでは、以前より世界各国のランサムウェア感染に関する統計を取り、その結果を公開している。

2023年の間に、一度でもランサムウェア攻撃を受けた企業の割合は、世界平均は前年より5ポイント上昇して69%だったものの、日本は前年より30ポイント減少して38%だった。

2024年現在、ランサムウェア攻撃は増えているように感じるが、この統計によると、2023年の段階では調査対象15カ国の中で日本は最もランサムウェア攻撃を受けていなかったことが分かる。