- 消費者が、顧客として企業に支払いを期待する金額は合計数億ドルに上る可能性がある
- 犯罪者への支払いは望ましくないが、自分自身のデータが侵害されたとき、消費者は企業に支払い負担を期待している
データ保護と可用性のリーダーであるVeritas Technologies(以下 ベリタス)は、ランサムウェアに関する調査結果を発表しました。この調査では、圧倒的多数の消費者が、企業はハッカーに立ち向かい身代金の支払いを拒否するべきだ、と考えていることが明らかとなりました。これは、企業が身代金を支払うことで、攻撃者が開発を継続してより高度な攻撃を仕掛けてくる可能性があるからです。ただし、攻撃により消費者自身のデータが侵害された場合には意見が変わり、犯罪者に対して、顧客 1 人あたり平均 1,167 米ドルを支払って対処することが望まれています。最近注目を集めたハッキングでは数十万の顧客の記録が侵害されたと報告されており、この場合、顧客が自身のデータの返還を求めてサプライヤーに期待する支払額は数億ドルに達すると考えられます。この金額は、ダウンタイム、ブランドの評判、顧客からの信頼に関連するビジネス上のコストとして上乗せされるのです。
12,000 人(内、日本の回答者2,000人)の回答者のうち 71% (世界平均、日本は58%)は、企業は金銭を要求するハッカーに立ち向かい身代金の支払いを拒否するべきだと回答しています。一方で、自分自身のデータが侵害された場合、サプライヤーがランサムウェア攻撃者にいくら支払うべきかを尋ねたところ、さまざまなデータタイプに対して回答者が示した金額の平均は以下のとおりでした。
個人の金銭取引 |
1,687 ドル |
子供に関するデータ |
1,587 ドル |
行政機関の記録 |
1,491 ドル |
医療記録 |
1,344 ドル |
個人のクラウドデータ |
1,336 ドル |
ユーザー認証情報 |
1,128 ドル |
Web メール |
1,062 ドル |
顧客記録 |
959 ドル |
ソーシャルメディア |
886 ドル |
基本的な個人情報 |
886 ドル |
出会い系のプロフィール/メッセージ |
873 ドル |
プレイリスト/動画ストリーミング情報 |
761 ドル |
平均 |
1,167 ドル |
さらに、3 分の 2 (世界平均65%、日本64%) 近くが、それでも企業が盗まれた情報を取り戻すことができない場合、個人的に埋め合わせるべきだとの考えを示しています。
ベリタスの日本法人、ベリタステクノロジーズ合同会社 代表執行役員社長 大江克哉は次のように述べています。「最初のうちは、身代金を支払うかどうかにかかわらず、企業は攻撃者に勝つことができないように思われますが、実際には消費者から明確なメッセージが示されています。つまり、消費者がプロバイダーに求めているのは、そもそもそういう状況になることを回避して、支払うべきか否かという選択をせまられないことです。ベリタスの調査から、企業は顧客に満足してもらうために、攻撃に備え、攻撃から復旧する態勢を整える必要があることがわかります。具体的には、最悪の事態が発生した場合に備え、実証済みのリカバリ手順を導入し、身代金を支払わないようにする必要があるのです」
企業がどのように準備すべきかについての調査の回答から、次のことが確認されました。消費者の回答によると、企業が導入すべき最も重要な 2 つの要素はデータの保護ソフトウェア (世界平均79%、日本74%) とデータのバックアップコピー (世界平均62%、日本53%) です。これらのテクノロジを導入済みの企業は、一般にランサムウェア攻撃に対してより適切に対応できると見なされています。このような企業は、通常、攻撃を防止したり、攻撃者の要求に対して身代金を支払うことなくデータを安全にリストアしたりできるからです。
「以前は、ランサムウェアの影響を受けるのは、ロックアウトされたノート PC へのアクセスを取り戻すために数百ドルの支払いを強要される少数の不運な個人ユーザーのみでした。しかし最近は、サイバー犯罪者が脆弱な企業を標的とすることが増えており、年間数十億ドル規模のビジネスになっています。コストは身代金の支払いにとどまりません。ベリタスの調査では、罰金や補償も期待されていることがわかりました。これに加え、ダウンタイム、生産性の低下、製品の提供または請求に関する問題からビジネスを軌道に戻すために莫大な費用がかかります。結果として、今年のランサムウェアによる世界的な損害コストは、年間 115 億米ドルを超えると推定されています*2。ただし、この金額には企業ブランドの評判失墜によるコストは含まれていません」と大江は述べています。
これらの結果は、日本、中国、フランス、ドイツ、英国、米国の消費者にランサムウェアの問題に関する考えを尋ねたグローバル調査で得られたものです。
また、一部の CEO が懸念すべき結果として、消費者の 40% 近く(世界平均、日本41%)から、企業のリーダーには攻撃に対する個人的責任があるという声があがりました。その詳細は以下のとおりです。
「私も、身代金を支払う必要はないと思います。身代金を支払うことで、多くの場合、問題が拡大し、攻撃者が開発を継続してより高度な攻撃をより頻繁に行うためのさらなるリソースを提供する可能性があります。また、攻撃者は通常、収益を得るために再び攻撃をしかけようと、支払いを行った企業のデバイスを無防備な状態のままにします。そして、企業が恐喝に対して取った行動に関わりなく、ランサムウェアは実際にダウンタイム、生産性の低下、技術面の評判の失墜というコストをもたらします。ですから、実際に攻撃を受ける前に、実証済みのデータ保護ソリューションを導入しておくことが、より適切な対応であるとベリタスは考えています」 と、大江は結論付けています。
*1: 1米ドル110円で換算
*2: Official Annual Cyber Crime Report 2017 (2017 年のサイバー犯罪に関する公式レポート)
調査方法
ベリタスの依頼により 3Gem 社が調査を実施して統計情報をまとめました。2020 年 4 月に各市場 (中国、フランス、ドイツ、日本、英国、米国) で2,000 人の消費者を対象に聞き取り調査を行い、最終的に 12,000 人の成人 (18 歳以上) からなる世界規模のサンプルとなりました。
ベリタスについて
ベリタスは、データの保護および可用性のグローバルリーダーです。50,000 社以上 (Fortune 100 企業の 99% を含む) の企業が、IT の複雑性を取り除き、データ管理を簡素化するためにベリタスを利用しています。Veritas Enterprise Data Services Platform は、どこにデータがあってもデータ保護の自動化とデータリカバリのオーケストレーションを実現し、ビジネスクリティカルなアプリケーションの可用性を 24 時間 365 日確保し、変化を続けるデータ関連の規制に準拠するための知見を提供します。拡張性に関する信頼性とあらゆるニーズに対応する配備モデルで高い評価を受けているベリタスは、60 のクラウドを含む 500 以上のデータソースと 150 以上のストレージターゲットをサポートしています。詳しくは、www.veritas.com/ja/jp をご覧ください。または、Twitter で @veritastechllc をフォローしてください。
Veritas、Veritas ロゴは、Veritas Technologies LLC または関連会社の米国およびその他の国における商標または登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
【報道関係者様お問い合わせ先】
スワローメディア合同会社
Email: veritas-pr@swallowmedia.co.jp
電話:03-4405-1996