「支払うな」は非現実的？ ランサム被害企業の8割が身代金を支払う――実態調査：セキュリティニュースアラート

専門保険会社Hiscoxは中小企業におけるサイバー攻撃の実態調査を公開した。「過去12カ月の間にサイバー攻撃を受けた」中小企業は全体の59％だったという。厳しい状況において中小企業が取るべき有効な対策とは。

[後藤大地，ITmedia]

　専門保険会社Hiscoxは2025年9月30日（現地時間）、中小企業におけるサイバー攻撃の実態調査「Hiscox Cyber Readiness Report 2025」を公開した。同調査は米国や英国、フランス、ドイツ、スペイン、アイルランド、ポルトガルなどの5750社の企業を対象に、組織のサイバーセキュリティ戦略の責任者に質問した。

　レポートによると、「過去12カ月の間にサイバー攻撃を受けた」と回答した中小企業は全体の59％に上り、攻撃を受けた企業のうち33％がデータ侵害後に高額な罰金を課され、経営に深刻な影響を受けたという。

「支払うな」は非現実的？　ランサム被害企業の8割が身代金を支払い

　サイバー攻撃の影響は金銭的損失だけでなく、回答企業の30％が業績指標の低下を経験し、29％が被害顧客への通知にかかる費用の増加を課題として挙げ、攻撃後に「新規顧客の獲得が困難になった」と回答している。加えて、44％が送金詐欺による金銭的損失を被り、32％は「従業員の燃え尽き症候群（バーンアウト）が発生した」と答えた。Hiscoxは小規模企業であってもサイバー攻撃の影響を過小評価すべきではないと警告している。

　特にランサムウェアによる被害は拡大を続けている。過去1年間に27％の企業がランサムウェア攻撃を受け、そのうち80％が身代金を支払った。保険加入の有無を問わず支払いに踏み切った企業のうち、データの全体または一部を回復できたのは60％にとどまり、31％は支払い後にさらなる要求を受けている。政府がランサム支払いに関する報告義務や法的規制を検討する中、調査対象企業の71％が「企業は支払額を含む身代金支払いを開示すべきだ」と回答した。

　攻撃者の手口が変化した点も指摘されている。従来の個人情報狙いから、契約書や経営幹部の電子メール、財務情報、知的財産などの機密業務データを盗む方向へと焦点が移っているという。これらの情報は金銭化が容易であり、攻撃者は公表を盾に企業へ支払いを迫る。こうした状況により、一部企業のデータ損失防止対策の不備が顕在化している。

　AIに関連するリスクも浮き彫りになった。回答企業の65％はAIを「機会」として評価しているが、57％が「AIの脆弱（ぜいじゃく）性に起因する攻撃を受けた」と報告している。新たな脅威としてAIによるソーシャルエンジニアリングやディープフェイク、外部AIツールの脆弱性、AIによるアクセス制御の突破などが挙げられている。

　この状況を受け、企業の防御姿勢にも変化が見られる。94％が、今後12カ月間でサイバーセキュリティへの投資を増やす意向を示している。70％が従業員への教育を強化し、60％が「追加の人員を採用して体制を拡充する」と回答した。

　同社は企業が採るべき基本的な防御策も提示している。信頼性のあるセキュリティソフトを導入し、AIを活用した脅威検知やファイアウォール、バックアップなどを組み合わせることを推奨している。パスワードマネジャーや多要素認証を利用してアクセス管理を強化することが挙げられている。定期的なシステムとソフトウェアの更新も重要とされ、自動アップデート機能の活用も有効としている。

　データの安全なバックアップと定期的な復旧テストの実施、従業員ごとにアクセス権限を限定する仕組みの整備も推奨している。AIを利用する場合、AIエージェントやアプリケーションの権限設定を適切に管理することが求められている。

　Hiscoxは、中小企業が地域経済や雇用の基盤を担う存在とした上で、サイバー防御の強化が自社の持続性だけでなく経済全体の安定にも寄与するとしている。報告書は、企業がサイバー攻撃への備えを具体的に進めるための現状把握資料として位置付けられている。