Skip to main content

IBMスタディ:個人消費者よりも企業の方がランサムウェアの身代金を支払う傾向

被害を受けた企業の70%がサイバー犯罪者に身代金を支払い、その半数は1万ドル以上
消費者は金融情報や家族の思い出の写真が脅かされたときに支払うことが判明

TOKYO - 16 12 2016:

2016年12月16日

[米国マサチューセッツ州ケンブリッジ - 2016年12月14日(現地時間)発]

IBMセキュリティーが本日(現地時間)発表した調査結果によると、ランサムウェアの被害にあった企業の70%は、事業データやシステムに再びアクセスするために身代金(ランサム)を支払ったことが明らかになりました。一方、調査対象の消費者の50%以上は、金融データ以外の個人データやデバイスに再びアクセスするために金銭を支払いはしないと回答しました。

ランサムウェアとは、サイバー犯罪者による恐喝の手口で、コンピューターやその他のデバイス上のデータを暗号化して、指定した金額を身代金として支払うまでそのままにしておくというものです。IBM® X-Forceによる調査「ランサムウェア:消費者および企業にとってのデータの価値」では、米国内のビジネス・リーダー600人と、1,000人以上の消費者を対象に、各種のデータにどれだけの価値を置いているかを調べました。消費者については、主に次のことが分かりました。

FBIによるサイバー犯罪に関する推計によると、ランサムウェアは2016年の主要なサイバーセキュリティー脅威の1つであり、この年の最初の3カ月における被害額は2億900万ドル(英語)に達したと報じられています。犯罪被害は悪化の一途をたどり、マルウェアによる2016年の被害額はほぼ10億ドルになるとみられています。実際、IBM X-Force(英語)の調査では、2016年に送信された全スパムメールのほぼ40%をランサムウェアが占めており、この恐喝ツールが急速に蔓延したことが分かりました。

企業は支払ってしまう
企業に対するランサムウェアの成功を示すかのように、調査対象のビジネス・エグゼクティブのほぼ2人に1人が、職場でランサムウェア攻撃を経験しています。この調査では、こうしたエグゼクティブの70%はランサムウェア攻撃を解決するために企業で身代金を支払ったと話しており、その半数は支払額が1万ドル以上、そのうち20%が4万ドル以上であることが分かりました。

調査の中で、全ビジネス・エグゼクティブのほぼ60%が、財務記録、顧客データ、知的財産、および事業計画などのデータを取り戻すためには、身代金の支払いもいとわないだろうと述べました。全体として、ビジネス・エグゼクティブの25%が、データの種類によっては、データに再びアクセスするために2万から5万ドルを支払ってもよいとしています。

小規模ビジネスは依然として、ランサムウェアにとって格好のターゲットとなっています。調査対象の小規模企業のうち、ランサムウェアの攻撃を経験しているのはわずか29%で、中規模企業の57%と比較すると低くなっています。サイバー犯罪者は、小規模企業がそれほど多額の身代金を差し出すとは考えていないかもしれませんが、職場のITセキュリティーのベストプラクティスについてのトレーニングが不十分であれば、それが脆弱性の原因となる可能性があります。この調査では、調査対象の小規模企業のうち、従業員にセキュリティー研修を提供しているのはわずか30%で、中規模以上の企業の58%と比較して低いことがわかっています。

消費者が支払いを余儀なくされる可能性も
調査対象の消費者の2人に1人は、データに再びアクセスするためにハッカーにお金を支払うつもりはないと回答していますが、具体的なデータの種類を示された途端に、支払おうという意志が高まります。

例えば、対象者の54%は金融機関のデータと引き換えに身代金を支払う意志があり、43%はモバイル・デバイスに再びアクセスするためなら支払うと答えています。さまざまなタイプのデータに値段をつける設問では、消費者の37%が、データを取り戻すために100ドル以上支払うと答えています。IBM X-Forceの調べでは、典型的なランサムウェアの要求額は約500ドルで、被害者のタイプと支払いの猶予期間によってはそれ以上の額になります。

ランサムウェアを仕掛けるサイバー犯罪者から最も大きな被害を受けているのは、保護者です。事実、保護者の39%がランサムウェアに対処した経験がありましたが、保護者以外で何らかの経験があると答えたのは全体で29%でした。

IBMの分析により、保護者は情緒的価値と子供の幸せのためには身代金を支払う意志が高まることが分かりました。例えば、調査対象の保護者の71%は、家族のデジタル写真やビデオが脅威にさらされることを最も心配していました。保護者以外で同じ心配があると回答したのは54%に過ぎません。全体に、保護者の55%は写真に再びアクセスするために代金を支払うと回答しましたが、保護者以外では39%のみでした。

子供がよく使用するゲーム・デバイスへのアクセスについても、保護者が大きな不安を感じていることとして、高い順位を占めています。その順位は写真やビデオに次ぐもので、40%の保護者がこれらのデバイスにアクセスできなくなることを心配する一方、保護者以外では27%でした。

IBMセキュリティーのエグゼクティブ・セキュリティー・アドバイザーで、本レポートの著者でもあるリモー・ケッセム(Limor Kessem)は、次のように述べています。「消費者と企業でランサムウェアへの対処は異なりますが、サイバー犯罪者にとってターゲットに境目はありません。思い出や金融情報、企業秘密などのデジタル化に伴い、ランサムウェアなどの恐喝からそうした情報を保護するためには、新たな方法による警戒が必要となっています。サイバー犯罪者は、私たちの弱点であるデバイスとデジタル・データへの依存を悪用して、大切な思い出や財産のセキュリティーを失ってもよいのか試しているのです」

ランサムウェアへの備えと対処
サイバー犯罪者がランサムウェアによって得た金銭的な見返りが10億ドルを超えるまでに増加していることから、ランサムウェアなどによる恐喝行為は今後も増え続けることになるとIBMは予想しています。企業も消費者も、ランサムウェアから身を守るのに役立ついくつかの対策を講じることができます。IBM X-Forceの専門家は、自分自身やビジネスを守るために、以下のヒントを参考にすることを推奨しています。

その他のヒントや調査結果の詳細については、こちらから報告書の全文をダウンロードすることができます。
https://www.ibm.com/blogs/security/jp-ja/2016/12/ransomeware-survey/

さらに、IBM傘下のResilientは本日、組織におけるランサムウェアやその他の複雑な攻撃への対処を支援するために、業界初のDynamic Playbook(US)を発表しました。ResilientのDynamic Playbookは、対処方法をリアルタイムで調整し、サイバー攻撃が明らかになったときに組織が講じるべき最適な対策を提示します。

FBIおよびその他の法執行機関(英語)は、ランサムウェアの被害にあってしまった場合に、被害者がサイバー犯罪者に身代金を支払うことのないよう勧告しています。それらの機関では、ランサムウェアの被害にあった場合などに、被害者がサイバー犯罪について適切な関係当局に報告するように勧告しています。

IBMセキュリティーについて
IBMセキュリティーは、企業向けのセキュリティー製品およびサービスの、最も先進的で統合されたポートフォリオの1つを提供しています。世界的にその名を知られたIBM X-Forceの調査に裏付けられたこのポートフォリオにより、組織は効果的にリスクを管理して新たな脅威から身を守れるようになります。IBMは、セキュリティーの研究、開発、提供を行う世界最大級の組織を運営し、130を超える国々で1日に350億件ものセキュリティー・イベントをモニタリングしているほか、3,000を超えるセキュリティー関連の特許権を保有しています。詳しくは、http://www.ibm.com/security(US)、Twitter(@IBMSecurity)、またはIBMセキュリティー・インテリジェンスのブログ http://securityintelligence.com/(US)をご覧ください。

調査について
この調査はKetchum Global Research and Analyticsと共同で企画され、データの収集はBraun Research Inc.(企業を対象にして600社のデータを収集)とORC International(消費者を対象にして1,021人のデータを収集)によって実施されました。

全対象企業における調査の許容誤差は、95%の信頼水準で+/- 3.88%(また、各規模の企業では95%の信頼水準で+/- 5.5%)です。消費者を対象とした調査の許容誤差は、95%の信頼水準で+/- 3.07%です。

当報道資料は2016年12月14日(現地時間)に、IBM Corporationが発表したものの抄訳です。原文は下記URLを参照ください。
http://www.ibm.com/press/us/en/pressrelease/51230.wss (US)

関連する XML feeds
Topics XML feeds
Corporate

Document options