.
新しい調査によると、身代金を支払ったランサムウェア被害者のうち41%が、復号キーが機能しなかったことが判明した。しかも問題はそれだけではない。
ランサムウェア攻撃からの復旧を目的に攻撃者へ身代金を支払っても、41%のケースで失敗に終わる。そして、たとえ復号キーが機能したとしても、被害者が全てのデータを回復できるとは限らない。
これは、サイバー保険会社ヒスコックス(Hiscox)が発表した「Cyber Readiness Report 2025(サイバー・レディネス・レポート 2025)」の調査結果の一つである。同報告書は、7か国の5,750組織へのインタビューに基づいており、そのうち27%が過去12か月以内にランサムウェア攻撃を受けたと回答した。
報告によると、身代金を支払った組織のうち60%は「一部または全てのデータを回復できた」としているが、41%は「復号キーを受け取ったものの、システムを再構築する必要があった」と述べている。
しかし事態はさらに悪化している。
調査では、身代金を支払った被害者の31%が、攻撃者から追加の支払いを要求されたことが明らかになった。また、身代金を支払った組織のうち27%がその後再び攻撃を受けており、「同じ攻撃者によるものとは限らない」と報告されている。
ヒスコックスは次のように述べている。
「いかなる企業も、自社のデータを人質に取った悪質な攻撃者に報酬を与えることを望んではいません。しかしランサムウェア攻撃の被害に遭った場合、失われる可能性のあるものを取り戻すためにあらゆる手段を講じることが一般的です。その中には、要求された場合に身代金を支払うことも含まれます。」
ただし報告書は、「身代金を支払っても問題が解決するとは限らない」と強調している。
IoTデバイスが最も一般的な攻撃経路
報告書によれば、脆弱性が主要な初期侵入経路となっている。特に、組織が所有するモノのインターネット(IoT)デバイスが最も多くのサイバー攻撃の侵入口となっており(33%)、次いでサプライチェーンの脆弱性(28%)、クラウドベースの企業サーバー(27%)が続いた。
また、15%の組織ではAIツールやソフトウェアが攻撃者の初期侵入ポイントとなっていた。
ランサムウェア被害者だけでなく、一度サイバー攻撃を受けた組織は、その後複数回攻撃されるリスクが高まることも報告されている。
調査対象のうち、59%の組織が過去12か月以内に少なくとも1回のサイバー攻撃を経験していた。その中でも、大規模または高収益の企業ほど追加攻撃を受ける傾向が強かった。
年間収益が100万ドルを超える企業は、過去1年間に平均6回攻撃を受けた。
$100 万以下の収入がある人は、平均4 回の攻撃を経験しました。
従業員数50〜249人の企業では、過去1年で平均7回の攻撃を受けており、従業員数11〜49人の企業(平均5回)よりも多かった。
最も被害を受けたのは非営利団体で、平均8件の攻撃を経験していた。これに対し、化学、不動産、メディア業界の組織は平均3件であった。
身代金支払いの情報開示を求める声が多数
報告書では、オーストラリアで新たに施行された法律により、企業は支払った身代金額を開示することが義務付けられたと指摘している。
回答者の71%は、このような情報開示を義務化すべきだと考えている一方で、53%は「民間企業には開示義務を課すべきではない」と回答した。
サイバーセキュリティ防御の現状は厳しいが、明るい兆しもある。
回答者の83%が「自社のサイバー耐性は過去12か月で向上した」と述べていた。