政府による“サイバーセキュリティ増税”、あなたは支持しますか？

ランサムウェアの身代金支払いに対する米国民の意識調査

　ランサムウェア被害に遭う企業や公的機関などが続出する中、米国の一般市民を対象に行われた、ランサムウェアに関する意識調査の結果がほぼ同時期に2つ公開されました。

　まず、2019年7月に米セキュリティ企業Anomaliが米調査会社Harris Pollに依頼して実施した調査の結果から紹介します。これは米国の成人2000名以上を対象に行われました。

　ランサムウェア被害の実態として注目すべきは以下の2点。

• 回答者の21％が個人使用のデバイスと業務用デバイスの両方またはどちらかでランサムウェア攻撃を受けた経験あり。
• 業務用デバイスでランサムウェア攻撃を受けた経験があるとの回答のうち46％が会社が身代金を支払ったと回答。

　意識調査の結果としては以下の6点。

• 登録有権者の64％は、ランサムウェアに対する支払いを承認する候補者には投票しないだろうと回答。
• 登録有権者の79％は、今後の投票時の意思決定において候補者のサイバーセキュリティに関するスタンスを考慮するだろうと回答。
• 米国人の66％は、政府機関はサイバー犯罪者にランサムウェアの身代金を決して支払うべきではないと考えている。
• 米国人の64％は、企業はサイバー犯罪者にランサムウェアの身代金を決して支払うべきではないと考えている。
• 米国人の86％は、組織がランサムウェアの身代金を支払うことはサイバー犯罪者に対してそのような攻撃を続けることを促すことになるとの考えに同意している。
• 米国人の70％は、他に選択肢がない場合にランサムウェアの身代金を支払うのは仕方ないとの考えに同意している。

　身代金の支払いの可否についてはさらに細かく調べられており、以下の4点が挙げられています。

• 政府機関の場合、たまに（sometimes）でも常にでも、何らかの頻度で支払いはOKとしているのが34％、常にOKは7％。
• 政府機関が身代金を支払うのをOKと考えている回答者が、支払い要求に応じる理由として最も多く挙げているのは以下の3点。
  - 国家のセキュリティを守るため：62％
  - 市民の個人情報を守るため：56％
  - 政府の機密情報を守るため：53％
• 企業の場合、たまに（sometimes）でも常にでも、何らかの頻度で支払いはOKとしているのが36％、常にOKは6％。
• 企業が身代金を支払うのをOKと考えている回答者が、支払い要求に応じる理由として最も多く挙げているのは以下の3点。
  - 顧客の個人情報を守るため：58％
  - 従業員の個人情報を守るため：53％
  - その他の安全や健康、命を守るため：49％

　一方、サイバー攻撃から守るために連邦所得税の増税を支持すると回答しているのは61％に及んでおり、増税の大きさに対する支持の割合は以下のようになっています。なお、小数点以下は省かれています。

• 1％までの増税を支持：25％
• 2％までの増税を支持：14％
• 3％までの増税を支持：12％
• 4％までの増税を支持 ：6％
• 5％またはそれ以上の増税を支持：5％

（Anomali公式ブログより）

　次に、2019年8月半ばにIBM Securityが米調査会社Morning Consultに依頼して実施した調査の結果を紹介します。これは米国の成人2200名を対象に行われ、年齢や人種、性別、学歴、居住地のバランスを考慮しており、誤差の範囲は±2％です。

　Anomaliの調査はランサムウェアの被害対象として民間企業と政府機関の両方について調べていましたが、IBM Securityの調査は地方政府（地方自治体）について調べています。

　調査結果の主要なポイントは以下の6点。

• 米国人の半分はランサムウェアについて何も知らず、よく知っている（familiar）のは17％のみ。

（IBM Securityの調査レポートより）

• ランサムウェアの脅威の対象として、全米の市について憂慮しているのは79％である一方、自分の住む市や郡、町については68％、自分の個人情報については75％である。

（IBM Securityの調査レポートより）

• 米国人の56％は地方政府がランサムウェアの身代金の支払いに税金を使うことに反対（「やや反対」を含む）しており、63％は復旧に身代金よりも高いコストがかかってもよいとしている。

（IBM Securityの調査レポートより）

• 米国人の54％は、市や郡、町を攻撃から守るために追加の税金を払いたくないとしている。また、払いたくないとしている回答者の中ではサイバーセキュリティに予算を回すために他のサービスの予算がカットされてもよいとする意見とそうでないとする意見が完全に半々に分かれている。

• 回答者の49％は、ランサムウェア攻撃から市を守る責任は一番に連邦政府にあるとしている一方、州レベルの責任としているのが22％、市や町（地方政府）の責任としているのが28％となっている。

（IBM Securityの調査レポートより）

• 米国人の88％は、地方政府への連邦政府の補助金が増えれば、サイバーセキュリティのインフラが改善すると考えており、76％は、連邦政府はサイバー攻撃やランサムウェア攻撃の被害を受けた市に対して自然災害やテロと同様に補償をすべきと考えている。

（IBM Securityの調査レポートより）

　Anomaliの調査との違いで最も目を引くのは、増税に関する結果です。Anomaliの調査ではサイバー攻撃から守るための増税を61％が支持していましたが、IBM Securityの調査では支持は46％にとどまっています。この差が質問の仕方や調査対象の違いから来るのかは不明ですが、少なくとも誤差の範囲と言えるほど小さくはない差です。

　IBM Securityの報告書ではほかにもいくつかの調査結果を公開していますが、それらに加えて、各々の調査結果を性別や年齢、支持政党、収入、居住地の人口、ランサムウェアの認知度によって分けた結果も掲載されています。

　まず、自分の住む市や郡、町に対するランサムウェアの脅威を憂慮している割合が高いのは、年齢が高い人やランサムウェアを知っている人、人口5万人以上の町に住んでいる人となっています。

（IBM Securityの調査レポートより）

　また、身代金を支払う以外の方法ではすぐに復旧できない場合に、自分の住む市や郡、町が税金を使って身代金を犯罪者に支払うことを認めるとの割合が高いのは、民主党支持者や比較的若い層となっています。

（IBM Securityの調査レポートより）

　復旧に身代金よりも高いコストがかかるなら身代金を支払った方がよいとしている割合が半数を超えているのは35歳未満の層のみとなっています。

（IBM Securityの調査レポートより）

　増税を受け入れる割合が高いのは、収入が多い人や人口10万人以上の市に住んでいる人で、ランサムウェアを知っている人の方が知らない人よりも増税を受け入れる傾向があります。

（IBM Securityの調査レポートより）

　また、増税を受け入れない人のうち、サイバーセキュリティに予算を回すために他のサービスの予算をカットしてもよいとしている割合が高いのは、共和党支持者や収入が5万～10万ドルの層となっています。

（IBM Securityの調査レポートより）

　ランサムウェア攻撃から市を守る責任は地方政府自身にあるとする割合が高めなのは、年齢が高い人や収入が多い人、共和党支持者などとなっています。

（IBM Securityの調査レポートより）

　サイバー攻撃による被害を受けた市への連邦政府による超党派の補償に賛成している割合は、民主党支持者の方が共和党支持者よりも高い傾向が見らます。

（IBM Securityの調査レポートより）

　今回の2つの調査では増税に関する結果に違いはあったものの、ランサムウェアの身代金の支払いに対して否定的に考えている人が多いという結果は共通しています。少なくとも政府機関は、復旧に際して身代金を支払う以外に選択肢がないなどの理由で、税金を使わざるを得ない場合は、納税者に対して十分な説明が求められることになりそうです。

　今回の調査はあくまで米国民の意識を調べたものに過ぎません。同様の調査を日本で行なうと、どのような結果になるのか、興味がわきます。

Andoridスマホの更新度合が最も良いのはどのメーカーか？

　GoogleはAndroid OSの更新を定期的にリリースしていますが、それが実際に利用者のデバイスに適用されるかはそれぞれのデバイスのベンダー次第です。そのため、ベンダーによっては更新が遅れたり、更新自体がなされなかったりすることで、脆弱なままになってしまっているデバイスは少なくありません。これは長年にわたって指摘されている問題です。

　そのような中、香港に本社を持つ国際的な調査会社Counterpoint Technology Market Researchは、2018年8月にリリースされたAndroid 9.0（コードネーム：Pie）への更新状況について調査した結果を公開しました。

　まず、2018年第3四半期から2019年第2四半期までの1年間で発売されたAndroidスマホのOSは以下のようになっています。

Exhibit 1: Android Version Share for Top 10 Manufacturers（Cumulative Sales）（Counterpoint Technology Market Researchのプレスリリースより）

　Android Pieを搭載している割合が最も高いのはNokiaの96％で他社を圧倒しており、次いでSamsung、Xiaomi、Huaweiとなっています。

　また、上位10社について、Android Pieのリリース（2018年8月）以降の各社のスマホにおけるAndroid Pieへの更新支給カバー率の推移を示しているのが以下の図です。

Exhibit 2: Time Taken by Top 10 Manufacturers to Upgrade Portfolios to the Latest Android Version（Counterpoint Technology Market Researchのプレスリリースより）

　ここでもNokiaが他社を圧倒しており、カバー率は12カ月で94％となっています。また、XiaomiはNokiaほどではないものの、こちらでも比較的高い値を示しています。

　一方、調査期間で発売されたスマホではAndroid Pieの搭載率が高かったSamsungが、更新のカバー率では低い値を示しているのが目を引きます。逆にLenovoは新規発売のスマホでのAndroid Pie搭載率は43％と高くなかったものの、更新カバー率は比較的高い値を示しています。

　このようなベンダーの対応の違いはそれぞれのベンダーの商品ラインアップにも依存しているとCounterpointは指摘しています。Counterpointによれば、高価格帯のスマホは一般的に更新カバー率が高いことが多いのに対し、低価格帯のスマホはライフサイクルが短いために更新カバー率は低くなるとしています。

　ちなみに、自社製スマホで常に最新のOSが確実に稼働していることをコミットしているベンダーは、ほんのわずかしかないようです。

　機種選定の際にはこのような「OSの更新」という観点も今後は今以上に重要になってくると思いますし、セキュリティに関わる者としてそうなることを願っています。