ランサムウェアに感染したという企業が、後を絶ちません。一時期下火になりながら、再度復活し、わたしもここ最近は毎月複数件の感染情報に接しています。

ランサムウェアに感染すると、データをことごとく暗号化され、解除をしてほしければ身代金を支払えと脅迫されることは有名です。ではその時、攻撃者の指示通りに支払うべきなのかという問題は、以前から議論になっているところです。

公に出回っている事例から考察するところでは、多くの日本企業は身代金を支払わない選択をしているように想像されます。これはいくつかの調査でもそのような傾向が言われており、ある調査結果では、指示通りに支払った日本企業は感染したうちの1割程度だったと報告しています。

これは米国企業とはかなり様相が異なるようで、複数の調査を見ると、身代金を支払った米国企業は感染したうちの4割から8割だというのが、およその傾向なようです。

なぜ日本の企業は支払わない選択をするのでしょうか。もちろん、支払った事実を公表しないということも原因としてありえるでしょう。しかし、わたしの想像では、支払っていない企業が本当に大勢ではないかと考えています。そう想像できる理由は、いくつかあります。

ひとつは、バックアップがうまく確保されていて復旧できた、というケースです。ただし、用意周到であったという理想的なケースはまれです。完全なバックアップではないが部分的でもどうにか元に戻せて、それ以外は手動でどうにか戻した、というケースがあるようです。

また、被害範囲が案外小さく、業務への影響が大きくならずに済んだという事例もわりと見うけられます。本当にそうだったとすれば幸運と言えますが、皮肉なケースも想像できます。つまり、日本の中小企業などではデジタル化が進んでいない場合が多く、情報がデータになっていなかったことで、それが不幸中の幸いとなって被害が小さかった、ということはあり得るでしょう。

なかには、泣き寝入りして復旧を断念しシステムを入れなおしたケースもあるようです。先に述べたとおり、身代金を支払ったという日本の企業は、ほとんど聞きません。横並びを意識しやすい日本人の特質からすれば、他の企業がやらないようだと知れば、躊躇する要因としては十分ではないでしょうか。

少し調べてみれば、支払ったとしても攻撃者が暗号化を解除してくれる保証はないとか、暗号化されただけではなくその情報自体が攻撃者の手にわたっていて別の脅迫をしてくる可能性があるとか、ランサムウェア感染では損害保険が効かないことが多いとか、様々なネガティブ情報に触れるでしょうから、企業はなおさら支払わない選択に傾くことが想像できます。

もしかすると、身代金を支払おうと一旦は決意したものの、ビットコインでの支払いを指定されていたがために、支払い方がわからなくて断念した、というケースも、日本の企業の場合ならあるかもしれません。

別の話として、これは噂の域を出ませんが、感染を受けてシステムの復旧を依頼された委託先の業者が、委託費用を使って攻撃者に身代金を実は支払って、それによって暗号かぎを取得し、あたかも復旧データが見つかったかのように見せて復旧させた、という話も一部で報じられています。関係者は（当然）否定しているようですが、良否はさておき、あり得るシナリオではあるでしょう。この場合も、感染した企業の側は、支払った認識はないことになります。

今後もランサムウェアによる感染被害は続くことが予想されますが、日本の企業ではおそらく、身代金を支払わない選択をする企業がこれからも大勢を占めるのだろうと思われます。