回答企業の70%が過去1年間に身代金を支払った
今回の事案をめぐっては、KADOKAWAが身代金を支払ったのかどうかという点もクローズアップされた。一部メディアでは同社がハッカー集団に対して支払ったとも報じられていたが、同集団は共同通信の取材に対し、支払われなかったと回答している。
コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室(OFAC)は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。
だが、多くの企業が身代金支払いの要求に応じているのが実態だ。セキュリティ会社・Cohesity Japanは7月30日、企業のIT・セキュリティ責任者302人を対象とした、サイバー攻撃からの復旧に関するアンケート調査結果を発表。回答者のうち79%が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、70%が過去1年間に身代金を支払ったことがあると回答している。
「攻撃者に身代金を支払うと、その攻撃者の攻撃能力が増して新たな被害者が生じることにつながる恐れがあるため、一般論としては『支払うべきではない』とされてはいますが、盗まれたデータの種類やユーザ・取引先への影響度合い、経営・事業の継続性への影響度合いにより、個別に企業の経営陣が判断することになります」(日本プルーフポイント チーフエヴァンジェリストの増田幸美氏/7月18日付当サイト記事より)
