近年、ランサムウェアというサイバー攻撃を行い企業に身代金を要求する被害が世界的に広がっています。2021年9月21日の日経新聞によると、世界的に身代金の支払いに応じる企業が半数を超えていると報じています。
※ランサムウェアとは?
ランサムウェアとは、コンピューターウイルスを感染させ、パソコンをロックしたり、ファイルを暗号化することで使用不能にしたのち、元に戻すことを引き換えに「身代金」を要求する不正プログラムのことです。
なぜ、支払いに応じるのか?
支払いに応じる企業が多い理由は、「取引企業に被害が及ぶ」などのサイバー攻撃の悪質性が高まっているのが要因のひとつになっています。
さらに、サイバー攻撃の標的がインフラや生活産業、大手サプライテェーンなどに広がっていることで、個人情報や機密データを奪う悪質な攻撃が急増しているためです。早急に対応しなければ、取引先や顧客に被害がおよび、自社の信用低下になることも。そのため、被害隠蔽のために身代金の支払いに企業が応じているようです。
また、米国においては、サイバー保険による支払いがサイバー攻撃を助長しているとも指摘されています。
米国におかけるサイバー保険の普及の推移
情報処理推進機構「米国におけるサイバー保険の現状」ニューヨークだより 2017年11月より
上記は、2017年と、少し古いデータですが、IPA(情報処理推進機構)がOECDの情報を元に発表している米国のサイバー保険の普及の推移内容になります。米国においては、業界による違いはありますが、 2017 年時点で、全体で20%程度、ヘルスケアなど、特に加入率が高い業界では50%を超えていことが分かります。
米国のサイバー犯罪報告件数および被害額推移
日本貿易振興機構(ジェトロ)「米国サイバーセキュリティー対策の行方」より
こちらは、日本貿易振興機構(ジェトロ)が発表している「米国サイバーセキュリティー対策の行方」の「米国のサイバー犯罪報告件数および被害額推移」というグラフです。
2016年までのデータと古いデータですが、右肩上がりにサイバー犯罪が増えていることが分かります。
この様に、米国においてサイバー保険の加入率が増えているのは、年々、サイバー攻撃を受ける企業が増えているのが原因だと想像できます。
身代金の要求に応じる企業の割合
日本経済新聞の記事によると、米セキュリティー大手プルーフポイントが主要7カ国で、従業員200人以上の3600の企業・団体に実施した調査によると、2020年に約2400団体がランサム被害を受けたと回答しています。
そのうち、約1200団体となる「52%」が身代金を支払っています。
主要国別の身代金に応じる企業の割合
・米国
87%(約410団体)
・英国
59%(約260団体)
・ドイツ
54%(約220団体)
・日本
33%(約50団体)
上記の通り、身代金を支払う企業の割合となっています。米国の87%の多さには驚きますが、日本以外の英国、ドイツでも50%以上が身代金を支払っているようです。
身代金を支払ったケース
・米国
米国のパイプライン運営会社コロニアル・パイプラインは、5月にサイバー攻撃を受け、犯行グループに身代金を払ったことを、ジョセフ・ブラウント最高経営責任者が「苦渋の選択だった」と認めています。
・ブラジル
ブラジルの肉食大手JBSという企業は、5月にサイバー攻撃を受け、食肉処理場の操業が止まったことで「データ流出を食い止めるため支払いを決めた」と言って語っています。
・日本
日本において、身代金を支払ったと公表している企業はありません。しかし、首都圏の中小IT企業の男性社長が、ランサムウェアの感染により、パソコンに「機密情報を奪った。支払わなければ外部に公開する」とのメッセージが表示され、端末が停止し業務が続けられなくったため、弁護士に相談したうえで、数百万円相当を支払い、半日以内に復旧したというケースがあるようです。
日本においては、少額の身代金なら営業外費用などで会計上処理することで、外部には分からないように支払いを行うことが可能のようです。そのためか、日本サイバーセキュリティ・イノベーション委員会の上杉謙二主任研究員によると、「非上場の中小・零細企業の支払いも多いのではないか」と指摘している専門家もいます。
身代金の支払い額が急増
身代金の支払額は年々増加していることもあり、米サイバー大手のパロアルトネットワークスによると、世界の企業1社あたりの支払額は2020年に31.2万ドル(約3400万円)と2019年と比べると3倍に急増しています。さらに、2021年の1月~6月で、約57万ドルと、身代金の支払額の拡大が続いています。
もちろん、サイバー犯罪者の脅迫行為は違法です。しかし、被害にあった企業が身代金を禁じる法律がないため、企業に身代金の支払いを全て禁止するのは容易ではないようです。
特に、米国では、87%もの企業が身代金を支払ってしまっているので、ハッカーが調子に乗り身代金額が急増しているのかもしれません。
ランサムウェアの身代金支払い額、日本は平均で約1億2300万円
セキュリティ企業のクラウドストライクの「2020年度版 CrowdStrikeグローバルセキュリティ意識調査(※1)」によれば、日本におけるランサムウェアの身代金の支払額の平均は1億2300万円と発表しています。
年々、身代金額が急増することで企業に対してのサイバー攻撃のリスクが高まっているようです。
※1:2020年度版 CrowdStrikeグローバルセキュリティ意識調査
2020年8~9月に12カ国の企業のIT意思決定者やセキュリティ担当者にアンケート行い、約2200人(うち日本は200人)が回答した結果。
米国では、身代金支払いの制限が始まっている
米国では、身代金を支払う企業について問題視されはじめています。そのため、米政府は支払いに制限をかけ始めています。
具体的には、米財務省の外国資産管理局(OFAC)は2020年10月、ロシア、北朝鮮、シリアなどとの関係が疑われる組織への支払いが規制対象になり得ると表明しています。
実際に、ロシアやその周辺国からのとみられる集団による攻撃が急増していることもあり、今後、何らかの追加処置がとられる可能性があるとも言われています。
日本では!?
日本においては、身代金の支払いに関する動きとしては、2020年12月に経済産業省が発行した「経営者向けの文書」で、「ランサムウェアについて金銭の支払いは厳に慎むべきだ」と表明しています。
身代金を支払う企業に対して、サイバー法制に詳しい山岡祐明弁護士は「被害規模や支払わずに復旧できる可能紫衣を確認しないまま払えば、経営陣が善管注意義務違反を問われる可能性もある」と話しています。
善管注意義務違反とは?
善管注意義務とは、取引上において一般的・客観的に要求される程度の注意をしなければならないという注意義務のことです。
善管注意義務に反して会社に損害が生じた場合、取締役は任務を懈怠したものとして、これにより生じた会社の損害を賠償する責任を負います。
この様な視点からも、企業がサイバー攻撃を受けた場合は、専門家に相談するなど慎重な判断が必要となります。
