シーザーズのケースでは、典型的なランサムウェア攻撃同様に、攻撃者がカジノやチェックインなどのシステムを暗号化して使えなくしただけなく、ホテル利用者の個人情報も盗み出していた。その上で、システムを元通りにするための身代金を支払わないと、盗んだ個人情報を暴露するとも脅迫してきた。
米国では「政府などが基本的にランサムウェア攻撃では身代金を払うべきではない」というのが基本スタンスだが、実際には身代金を支払ってしまう企業は多い。そうしなければ、企業が仕事や営業を行えないばかりか、内部の重要情報まで暴露されてしまう可能性があるからだ。
実際、ランサムウェアに感染した企業のうち、およそ72.2%の企業が身代金を支払っているというデータも存在する(2022年の統計)。
これに対し、日本では、ランサムウェアに感染すると、基本的にまず所管の警察に届け出る。日本政府や警察は身代金を支払わないように指導するため、企業はそれに従わざるを得ない状況がある。
企業にしてみれば、身代金を支払わずに、暗号化されてしまったシステムを入れ替えたり、修理をするなどすることで、多大なコストがかかる。警察庁の統計によれば、2022年にランサムウェア被害を受けた企業で、調査と復旧にかかった費用は、1000万円以上が46%で、そのうち13%で5000万円以上がかかっているという。
それならば、身代金を支払ってしまったほうが安上がりで済むと考える企業があるのも仕方がないのかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング