“名もない中小企業”がランサムウェアの餌食になる理由：半径300メートルのIT（1/2 ページ）

「うちは名もない中小企業だからランサムウェアの標的にはならない」――。果たしてそれは真実なのでしょうか。加害者の気持ちになって考えてみると……。

[宮田健，ITmedia]

　セキュリティベンダーのトレンドマイクロから、面白い資料を見せてもらいました。2015年末から何度か取り上げている「ランサムウェア」の実態を調査した資料（外部リンク）です。

　ランサムウェアに関しては、このコラムでも常に「マルウェア対策をしっかりする」「バックアップをしっかり行い、“バックアップを戻す”練習をする」といった防御策を紹介しています。個人、法人ともにこの基本ができていれば、ランサムウェアに万が一やられたとしても、被害を最小に抑えられるはずですが、対策の実態を見ると不安を覚えずにはいられませんでした。

「中小企業は標的にならない」という誤解

　今回の調査は、2016年6月29から30日にかけてITに関する意思決定者を中心とした534人に行ったもので、その結果をひと言でいうと「まだまだ認知も対策も進んでいない」というのが率直な感想です。ランサムウェアの恐怖は、この記事を読んでいるその裏側でいま、感染してもおかしくないくらい深刻なもの。準備と対策が復旧への唯一の手段であるため、この問題は喫緊の課題であるはずなのですが……。

• ランサムウェア被害者の6割以上が身代金を支払い、1億円以上の損害も

　中でも、私が問題だと思ったのは、「自分はランサムウェアの被害には遭わない」と思っている人が、予想以上に多かったことです。

「自分はランサムウェアの被害には遭わない」と思っている人は意外と多い（出典：トレンドマイクロ）

　この調査は、「あなたの企業が『ランサムウェア』の被害に遭う可能性があると思うか？」というものです。全体では34.8％、300人未満の企業では実に約半数（51.9％）が「自分は被害に遭わない」と思い込んでいるようです。

　その理由の中に、問題の一端が見え隠れしています。

自分はランサムウェアの被害に遭わないと考える理由（出典：トレンドマイクロ）

　「ランサムウェアの被害に遭わないと思う理由」を見ると、一番多いのは「自社は大企業や有名企業ではないから」。つまり、被害に遭わないと思っている人は、「ランサムウェアは“標的型攻撃”。だからウチみたいな“名もない中小企業”は標的にはなり得ない」と考えているわけです。しかし、この考えは正しいのでしょうか？