調査会社のEnterprise Strategy Group(注1)が、2022年3月31日にランサムウェアに対する準備状況に関する調査報告書を公開した。これは2021年12月から翌年1月にかけて、北米および西欧のITおよびサイバーセキュリティの実務者を対象として行われた、オンラインでのアンケート調査に基づくもので、有効回答数は620とのことである。
報告書は調査のスポンサーであるZerto社のWebサイトで公開されており、下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://www.zerto.com/page/esg-the-long-road-ahead-to-ransomware-preparedness/
(PDF 30ページ/約4.4 MB)
本連載では過去にもランサムウェアに関する調査報告書をいくつか紹介させていただいた(注2)。これらの調査結果を通して導かれる対処方針のひとつは、「ランサムウェアの被害にあっても身代金を払うべきではない」ということである。サイバーセキュリティに関する専門機関であるJPCERTコーディネーションセンター(JPCERT/CC)も、ランサムウェアの被害にあった場合の対処法として、身代金を支払わずにデータの復旧を行うことを推奨している(注3)。
今回紹介させていただく報告書にも、これを裏付けるデータが掲載されている。図1は身代金を支払った後にデータを取り戻せたかどうかを尋ねた結果である。100%復旧できたという回答はわずか14%である。
本調査における回答者の中でランサムウェアの被害にあった人数がどのくらいなのかは記載されていないが、被害にあった組織のうち56%が身代金を支払ったという。しかしながら図1を見る限り、全体としては身代金に見合った結果が得られたとは言い難く、本報告書においても身代金を支払うことは、さらなる身代金を要求するという悪行(bad behavior)を助長する行為だと断じられている。
しかしながら一方で、身代金を支払うことを想定して準備している組織が一定数存在するというデータもある。図2はサイバー保険の契約内容を尋ねた結果であり、最も多いのが「事業中断に対する補償」(Business interruption coverage)で75%、次いで「第三者損害賠償責任に関する補償」(Third-party liability coverage)で68%であるが、「身代金の補償」(Ransom coverage)を契約範囲に含めている組織も66%となっている。
ちなみに日本で提供されているサイバー保険では身代金の支払いはカバーされない(注4)。一方で外国の保険会社では身代金の支払いをカバーする契約にできる場合もあるようである(注5)。したがってこのあたりの状況は日本とはかなり異なると考えられるが、日本においても(たとえ保険でカバーされないとしても)身代金を支払うことを想定している組織はそれなりに存在するかもしれない。
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方