しかし、ランサムウェア被害に遭ったとき、実際には支払いに応じる企業は少ない。
明日ランサムウェア攻撃を受けたら、データを取り戻すために支払いますか?最近の調査では、50% 以上の CISO がその組織が支払うと回答しました。
今後、より多くの企業がこのような状況に直面することになります。「攻撃は増加し続けている」と、この調査を依頼したセキュリティベンダー Absolute Software の CEO である Christy Wyatt 氏は述べています。「企業はこれに対処する準備がより整っています。一部のトレーニングの効果が出ており、AI も役立っています。しかし、攻撃者も防御者と同じすべてのツールを持っていることを忘れないでください。」
米国と英国の 750 人の CISO を対象とした 調査では、58% がランサムウェア事件を終わらせるために支払う意思があると回答しました。
これは両国の当局の助言に反しています。「英国政府および法執行機関のパートナーの長年の立場は、身代金要求の支払いを奨励、支持、容認しないというものです」と、英国国家サイバーセキュリティセンターの報道官は述べています。
FBI も、支払いが加害者に他者への攻撃を促すだけであることに注目しながら、ランサムウェアの要求に屈しないよう警告しています。
法執行機関が企業に支払いをしないよう助言するもう 1 つの理由は、支払ってもデータが確実に戻るという保証がないということです。
リスクと法執行機関の不同意を考えると、支払う意思があると述べた CISO のうち、実際に支払うことになったら何人が実行するでしょうか?
認識されるスティグマのため確かな統計を得るのは難しいですが、証拠は相当数がそうしていることを示唆しています。
ランサムウェア被害に遭った企業の中で、37% が身代金を支払ったと、昨年の IDC 調査によれば述べられています。ただし、IDC のセキュリティサービス研究ディレクターである David Clemente 氏は比率がより高いと疑っています。「支払ったが、オープンにしたくない多くの人がいると確信しています」と彼は述べています。
ただし、身代金を支払った全員にとってそれが終わりではありませんでした。IDC によれば、彼らの約 5% が「復号化が不完全だった」ことに気づきました。
保険プロバイダー Hiscox の 2025 年後半の調査では、身代金を支払った中小企業の 60% のみがその結果として全部または一部のデータを正常に回復しました。
Absolute の Wyatt 氏は「データが戻ってくるかもしれませんし、そうでないかもしれません」と警告しています。そしてデータが戻ってきたとしても、それはあなただけがそれを持っていることを意味しません。「企業が支払った後、認証情報が共有されていることを発見した事例を聞いています」と彼女は述べています。
では、企業は身代金を支払うべきではないということでしょうか?
IDC はそれを調査し、そのような攻撃のために計画していた企業は抵抗できると判明しましたが、悪い影響はありました。「約 29% の企業がバックアップから暗号化ファイルを回復することができました」と Clemente 氏は述べています。「しかし、支払わなかった 33% の企業は、何も回復できないことがわかりました。」
英国の小売業者 M&S は、2025 年 4 月にランサムウェア攻撃を受けたとき支払わず、内部ロジスティクスシステムが混乱し、オンラインストアを数カ月間閉じることを余儀なくされました。同社は事件の費用を 営業利益損失 4 億ドルと推定しています。
ランサムウェア支払いのジレンマは CISOs にとって問題のままですが、M&S が指摘する可能性のある教訓は、ランサムウェア攻撃が発生した場合、バックアップの品質と堅牢性に自信がない限り、身代金を支払うことが最善の選択肢かもしれないということです。政府と法執行機関はそれを気に入らないかもしれませんが、株主の怒りに直面することはありません。
