近年、サイバー犯罪集団によるランサムウェア攻撃は日増しに増加している傾向にあるが、それに対する組織の意識や緩和策の実態はどのようになっているだろうか。Threatpostは6月16日(米国時間)、「Ransomware Poll: 80% of Victims Don't Pay Up|Threatpost」において、ランサムウェア攻撃への対策に取り組んでいる組織の動向を把握するための調査結果を報告した。それによると、実際にランサムウェアの被害に遭った組織のうち、80%は身代金の支払いを行わなかったと回答したという。

Threatpost調査に回答した120人のうち、3分の1がランサムウェアの被害に遭った経験があり、そのうちの80%は身代金を支払わなかったとのこと。被害の経験者と未経験者を合わせた集計でも、身代金を支払うべきではないという回答が78%を占めており、意見はほぼ一致している。

その理由としては、サイバー犯罪者は信用できず、身代金の支払いが必ずしも復号キーの入手につながる保証がないという回答が42%でトップにきている。次いで、バックアップを取っていれば身代金を支払う必要はないという意見が33%になっている。一方、16%で3番目に挙げられていたのが、状況はもっと複雑であり、事業継続への影響や危険にさらされているデータの性質に依存するという回答だった。

一方で、身代金を支払った組織の80%が、その後に2回目の攻撃に見舞われたというCybereasonによる調査結果も紹介されている。そのうちのほぼ半分は同じグループからの攻撃であり、3分の1が別のグループからの攻撃だったという。いずれにしても、身代金の支払いは、攻撃者に「容易な相手」として認識される理由になっている可能性が高い。

実際にランサムウェアの被害に遭った場合、組織はビジネスの中断やブランドのマイナスイメージなどといったさまざまな影響を被ることになる。ただし、Threatpostの調査結果では、被害者の半数以上が、身代金を支払わなかった場合の修復費用が5万ドル未満であることが判明したという。一方でCypereasonの調査では、身代金を支払った企業のうち、35%が35万ドルから140万ドルの支払いを、7%が140万ドルを超える支払いを行ったという結果が出されている。現実的には、身代金を支払ったとしても最終的なコストが少なく済む可能性は低いということになる。

ランサムウェアの攻撃に対して行うべき防御策に関する質問に対しては、重要なデータのバックアップ、ユーザの意識向上トレーニング、エンドポイント・デバイスの保護などの回答が上位を占めている。その一方で、これらの防御策の実施を困難にしている要因として、従業員の意識の欠如や予算の制約、パッチ適用の不足などといった課題も挙げられている。