ランサムウエア攻撃の猛威はとどまるところを知らない。国内外で大きな被害をもたらしている。情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」における組織向け脅威では、「ランサムウエアによる被害」が3年連続でトップだった。
関連記事 IPAの情報セキュリティー「10大脅威」、ランサムウエア被害が3年連続トップ一方で2023年1月、以前からランサムウエア攻撃を調査しているセキュリティー企業2社から興味深いデータが公表された。ランサムウエア攻撃の身代金を支払う被害企業が減っているというのだ。本当なのだろうか。
7億6560万ドルから4億5680万ドルに減少
ブロックチェーン分析会社である米Chainalysis(チェイナリシス)は2023年1月19日、2022年のランサムウエア攻撃を総括し、被害状況などをリポートにまとめて公開した。同社は以前から、ランサムウエア攻撃者の暗号資産(仮想通貨)アドレスなどを監視し、身代金の支払い状況を継続的に調査している。
それによると、2021年は総額7億6560万ドルだった身代金支払いが、2022年には4億5680万ドルに減少したという。これについて同社では、ランサムウエア攻撃が減少したわけではなく、身代金支払いを拒否する被害企業が増えたためと推測している。
米Coveware(コーブウエア)が2023年1月20日に公表したリポートもこれを裏付ける。同社はランサムウエア攻撃の被害に遭った企業を支援するセキュリティー企業。同社の調査によると、身代金を支払う被害企業の割合が減少傾向にあるという。
四半期ベースで見ると、2019年第1四半期は85%だった支払率が、2022年第4四半期には37%まで減少。年間ベースでは2019年には76%だった支払率が、2022年には41%に減少した。
身代金を支払うと罰せられる恐れ
身代金支払いが減少した理由の1つとしてコーブウエアは、企業の多くが対策を強化していることを挙げている。相次ぐ被害報道によりランサムウエア攻撃の危険性を認識し、セキュリティー対策やインシデント対応にコストをかけるようになっているという。
その結果、ランサムウエア攻撃を受けた場合でも、身代金の支払いにつながるような重大な影響を受けなくなっているとする。
チェイナリシスは法的な問題を理由の1つとして挙げている。
米財務省外国資産管理局(OFAC:Office of Foreign Assets Control)は2020年10月1日、ランサムウエアの身代金支払いに関する勧告(アドバイザリー)を公表した。
勧告によると、米国が経済制裁を科している国や地域の組織に身代金を支払った場合、OFAC規制違反として罰金を科せられる可能性があるという。身代金が、米国の国家安全保障や外交政策を脅かす活動の資金にされる恐れがあるからだ。
この規則はランサムウエア攻撃を受けた企業だけでなく、企業がインシデント対応を委託した第三者企業にも適用される。
