「国内法人組織の78.5%が何らかのセキュリティーインシデント(事故)を経験し、43.8%は何らかの被害があった」――。トレンドマイクロが2020年10月2日に公表したセキュリティー調査から、日本企業を襲うサイバー攻撃の深刻な実態が明らかになった。被害が発生した企業・組織の平均被害額は年間で1億4800万円だった。
同社の調査「法人組織のセキュリティ動向調査 2020年版」は2019年4月~2020年3月までに生じたセキュリティーインシデントの被害規模と対策の実態を調べたものである。
最多インシデントはフィッシングメールの受信
国内法人組織の約8割が何らかのセキュリティーインシデントを経験する「深刻な結果」と判明した同調査では、法人組織が1年間に経験したセキュリティーインシデントの内容と発生率を挙げている。第1位は突出して「フィッシングメールの受信」で、42.8%の企業がフィッシングメールの受信を経験している。第2位は「ビジネスメール詐欺のメール受信」(29.1%)、第3位は「不正サイトへのアクセス」(26.5%)である。
1位と2位がメールに関するインシデントという結果は、トレンドマイクロが2020年8月31日に発表した報告書「2020年上半期セキュリティラウンドアップ」でも見て取れる。同報告書によると、2020年1~6月の間に世界中で検出したサイバーインシデントのうち、メールの脅威が9割以上を占めている。トレンドマイクロの山外一徳セキュリティエバンジェリストは「メールによる攻撃は業種に関係なく発生している。サイバー攻撃に悪用されやすく注意が必要」と警鐘を鳴らす。
さらに山外エバンジェリストは「上位3つ以外に今回の調査では注意すべきインシデントがある」と説明する。それが第4位の「標的型攻撃」(22.2%)と第5位の「ランサムウェア感染」(17.7%)である。
標的型攻撃は特定の企業や組織を狙うサイバー攻撃のこと。攻撃者が機密情報の窃取や設備の破壊・停止といった明確な目的を持って仕掛けることが多い。一方のランサムウエア感染はコンピューター内の情報を「人質」にしてアクセス不能にし、元の状態に戻す見返りに「身代金」を要求するマルウエア(コンピューターウイルス)による攻撃だ。
この2つのインシデントについて山外エバンジェリストは「トレンドマイクロのインシデントレスポンスチームが最近対応した攻撃の中で特に被害のインパクトが大きい」と説明する。とりわけ日本企業に対するランサムウエアによる攻撃は2019年7~12月に17件だった被害報告が、2020年1~6月には37件と倍増している(「2020年上半期セキュリティラウンドアップ」より)。
4割強がサイバー攻撃による被害を経験
次に、被害の実態を見てみる。「法人組織のセキュリティ動向調査」では43.8%が「自組織においてインシデントに起因した何らかの被害を経験した」と回答した。4割を超える企業でサイバー攻撃による被害が生じていることになる。セキュリティーインシデントが発生すれば、システムやサービスの停止による損失が発生する。またインシデント対応や原因究明のための費用、改善策の導入、損害賠償といった対応も必要になる。
こうした費用を含めて被害を経験した組織の年間被害額を聞いたところ、平均して約1億4800万円という結果だった。しかも被害を経験したと回答した15.7%には1億円以上の被害が発生している。
ただし1億円以上の被害が発生したと回答した組織のインシデント内容は「被害額が1000万円未満で少ないと回答した人に比べて、年間で経験しているインシデントの種類が多い」(山外エバンジェリスト)。特定のセキュリティーインシデントが被害額をけん引しているのではなく「複数のインシデントによる被害が積み上がり、年間の被害額が増えたのではないか」(同)という。
