トレンドマイクロが企業に対して実施したランサムウェア実態調査では、多くの企業がランサムウェアについて誤解をしており、対策が不十分という結果が浮き彫りになった。同社のセキュリティ エバンジェリスト岡本勝之氏に企業の現状とランサムウェアの対策について話を聞いた。
調査では、回答した企業の34.8%が「ランサムウェアの被害に遭う可能性がない」と答えていた。特に従業員300人未満の企業では51.9%が「ない」と回答しており、中小企業ほどランサムウェアに遭遇する危険性を軽視する傾向があった。岡本氏は、中小企業は「自社は有名企業ではないから」という認識でランサムウェアに狙われないという認識があると指摘。しかし、ランサムウェアは標的型攻撃ではなく「不特定多数に送信しているので、誰でも被害に遭う」と強調する。
実際に被害にあった割合では、全体では25.1%に被害経験があり、300人以上の大企業で35.4%、300人未満の中小企業で9.5%と、確かに被害割合は低かった。しかし、これについては「大企業がばらまき型攻撃で被害に遭いやすいのは従業員の絶対数が多いから」(岡本氏)として警戒を怠る理由にはならないと話していた。
こうした状況にありながらも、ランサムウェア対策製品を導入した企業の割合は33.3%にとどまっていた。中小企業は16.5%と特に導入率が低く、大企業でも44.4%と半数に満たない。岡本氏は「自社の対策がランサムウェアに対して効果的かどうかの認識が進んでいない」ことが、こうした導入率の低さに表れていると指摘する。
特に、ランサムウェア対策を導入しない理由として、36.7%が「暗号化されて困るデータ(ファイル)はないから」「導入に際してコストと時間がかかるから」と回答。中小企業にこうした回答が多く、「情報資産の認識が軽くなっているのではないか」と岡本氏。さらに、「効果的な対策が分からない(32.8%)」「ウイルスなどの目立ったインシデントがなかったから(26.6%)」といった回答もあり、コストの問題だけでなく、必要な対策が知られていないという現状が浮かび上がる。