ランサムウェア身代金「支払う」が8割 実態調査で見えた“深刻な矛盾”

Cohesity Japanは2024年データセキュリティおよびデータ管理に関する調査を発表した。同調査は、対象企業のサイバーレジリエンスの成熟度やランサムウェアの身代金対応について踏み込んだ質問を聞いている。

[田渕聖人，ITmedia]

　Cohesity Japanは2024年7月30日、2024年データセキュリティおよびデータ管理に関する調査結果について記者発表会を開催した。

　同調査は、Cohesityが調査会社Censuswideに委託し、2024年6月27日〜7月18日に実施された。調査は日本のITおよびセキュリティ分野の意思決定者301人を対象にしており、回答者が自社の業務を最もよく表す業種として選んだ上位4業種は、IT・通信と金融サービス（保険会社を含む）、製造、病院・ヘルスケアだ。

調査から見えた企業のランサムウェア対策における深刻な矛盾

　この調査では、対象企業のサイバーレジリエンスの成熟度を図るとともに、ランサムウェアの身代金を支払うかどうかや、支払う場合はどのくらいの金額かなど複数の質問について聞いている。

　記者発表会の冒頭、Cohesity Japanの笹 岳二氏（技術本部　本部長）は「ランサムウェアは日々進化している。第1世代は本番環境のデータを暗号化するものだったが、第2世代は被害企業の復旧を妨げるためにバックアップデータの破壊や暗号化まで実行するものに進化した。第2世代はいまだに猛威を振るっているが、最近は第3世代として『ノーウェアランサム』と呼ばれるような、暗号化せずにデータを窃取して脅迫によって金銭を要求する手法が流行している」と語る。

　まずは企業のサイバーレジリエンスの進捗（しんちょく）状況から見ていこう。調査によると、回答者の76％は「自社のサイバーレジリエンス戦略と『昨今のエスカレートするサイバー課題と脅威に対処する』能力に自信を持っている」と答えた。

　「過去1年間にデータセキュリティや管理、リカバリーのプロセス・ソリューションについて、シミュレーションやストレステストを実施したかどうか」という質問に対して、45％が「過去6カ月以内に実施した」、44％が「過去6〜12カ月以内に実施した」、11％が「『いいえ』または1年以上」と回答した。

　「何かインシデントが起きたときにリカバリーできるかどうか」という質問については6％の回答者が「0〜30分以内にリカバリーできる」、58％が「1〜6時間以内にリカバリーできる」、19％が「6〜24時間以内にリカバリーできる」と答えた。

　しかし、調査では矛盾した結果も出た。回答者の多くが自社のサイバーレジリエンス戦略に自信を持っている一方で、ランサムウェアについて「データやビジネスプロセスの復旧を早めるために身代金の支払いを検討するかどうか」を聞いた結果、88％が実際に支払うかどうかはともかく、「支払いを検討する」と回答した。また、79％は「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と答えた。「身代金の金額によっては支払うかもしれない」と回答したのは9％となった。

　次に「身代金を支払う」と答えた回答者に支払う金額を聞いた。これによると、77％は「データの復旧とビジネスプロセスの回復のためなら身代金100万ドル以上を支払ってもよい」と回答し、24％は「500万ドル以上を支払ってもよい」と回答した。

　なお、回答者の70％は「調査前の過去1年間に身代金を支払ったことがある」と回答した一方で、85％は「自社において身代金を支払わないポリシーがある」と答えた。

　笹氏はこの結果を踏まえて「企業としては身代金を支払わないポリシーを持っているが、データ復旧のために身代金を支払わざるを得ないのが実態だ」と指摘する。

　身代金を支払ったことがある企業がどのくらいの金額を支払ったのかについては、36％の回答者が1万〜25万ドルの身代金を支払った他、46％が25万〜100万ドル、4％が100万〜1000万ドルを支払ったことが分かった。

日本の回答企業の過半数が高額な身代金を支払っている（出典：Cohesity Japan発表資料）

ランサムウェアへの防御は不十分　組織の憂慮すべき実態

　第3世代のランサムウェアによる被害を防ぐためには、機密データがどこにあるのかを把握し、容易に持ち出したり、複製したりできない仕組みが必要だ。これについて企業の実態を聞いたところ、「機密データを特定し適用されるデータプライバシー法および規制に準拠するためのITおよびセキュリティテクノロジー能力を全て備えている」と答えたのは36％だった。

　また、自社のセキュリティ対策において「データ資産のITとセキュリティ間の一元的な可視性を改善することでより適切に異常を検出し、機密データの暴露や侵害を判断できる」と回答したのは62％だった。

　笹氏はここから「機密データの可視性は確保できているが、これをもし動かした後にトラッキングできる仕組みを備えている組織は多くない実態が明らかになった」と話す。

　この他、ゼロトラストセキュリティに関連したデータアクセス制御対策の導入率については、多要素認証（MFA）の導入率が48％、役割ベースのアクセス制御（RBAC）が45％、定足数管理または複数の承認を必要とする管理規則（Quorum）が38％という結果になった。

　笹氏は「サイバーレジリエンスの最も重要な要素は、主要なビジネスプロセスを復元するビジネスクリティカルなデータを回復する能力だ。しかし、まず外部や内部の脅威からデータを保護しなければ、重要なデータを復元することは困難だ。そのためにはMFAやその他の職務分掌のような効果的なデータアクセス制御を導入することが必要となる。機密データを保護するために、このような管理策を実際に導入している組織が半数に満たないという事実は憂慮すべきことであり、組織のサイバー回復力に対する重大なリスクを示している」と指摘する。