2024年10月4日

NECサイバーセキュリティ戦略統括部　セキュリティ技術センターの山田です。

本ブログでは、2024年7月に日本ネットワークセキュリティ協会（JNSA）のインシデント被害調査ワーキンググループから公開された「サイバー攻撃を受けるとお金がかかる～インシデント損害額調査レポートから考えるサイバー攻撃の被害額～[1]」という報告書について紹介します。
本報告書は、インシデント発生時に必要な対応と、それによって生じるコスト（損害額・損失額）を被害組織へのアンケート結果も交えてまとめたものです。

目次

報告書の概要

私も活動メンバーとして参加しておりますインシデント被害調査ワーキンググループでは、インシデント発生時に必要となる具体的な対応、アウトソーシング先、それに伴い生じるコスト（損害額・損失額）などの調査結果をまとめ、「インシデント損害額調査レポート[2]」として公開しております。
今回公開された報告書は調査レポートの内容を簡潔に説明するためのセミナー資料としてまとめたものであり、自組織の経営層や顧客にサイバー攻撃によって発生しうる金銭的な損害を認識いただくことで、セキュリティ対策導入の判断に役立てられることを目的としています。

インシデント発生時に生じる損害

本報告書では、インシデント発生時に生じる損害を以下の6つに分類して整理しています。

インシデント対応を事業者へアウトソーシングした場合の費用についても調査しており、フォレンジック調査をインシデントレスポンス事業者へアウトソーシングした際には300～400万円程度必要、問い合わせ対応のためのコールセンターを設置した場合は3か月で700～1000万円必要となってきます。

これらアウトソーシングの費用も踏まえると、中小企業においても数千万単位、場合によっては億単位の損害がインシデント発生時に生じる可能性があります。

被害組織への調査による実際の被害額

本報告書では、国内約1300のサイバー攻撃による被害組織へのアンケート調査を行っています。また、一部組織へインタビューを行い被害の実態を明らかにしています。

調査対象の選定

調査対象とする被害組織の選定にあたっては、セキュリティ情報サイトである「セキュリティネクスト[3]」「スキャンネットセキュリティ[4]」「サイバーセキュリティ.com[5]」の3つのサイトからインシデント情報を収集しています。
収集した2017年1月～2022年6月の5年半の記事データから、ランサムウェア感染、ウェブサイトからの情報漏えいなど、外部からの攻撃により発生したインシデント情報の絞り込みを行った結果、国内の約1300の組織が調査対象となりました。

なお、インシデント情報の絞り込み、アンケート送付や被害組織傾向を把握するための被害組織の詳細調査（アンケート送付先、資本金、従業員など）を行っていますが、これら調査は基本的にワーキンググループ参加メンバーが手作業で行っております。

ランサムウェア被害企業の傾向

ランサムウェアによる被害は、調査対象期間の2017年から現在まで絶えず被害報告がなされており、IPAの10大脅威[6]においても2016年の初選出以降2024年まで9年連続での選出、2021年から連続で1位になるなど深刻な脅威となっています。

ワーキンググループの調査結果では、2017年から5年半でランサムウェア被害件数は171件、そのうち73件（43%）が製造業の組織となりました。調査対象期間中の「令和3年経済センサス[7]」を参照すると、日本国内の製造業の企業数は全体の8%ほどであり、ランサムウェアの被害組織に偏りがあることがわかります。

ここで、サイバー犯罪や脅威の事例や統計データをまとめて警察庁から公開されている「令和6年上半期における サイバー空間をめぐる脅威の情勢等について[8]」を見ると、令和6年上半期のランサムウェア被害件数114件中、製造業は34件（29%）となり、最も被害の多い業種となっています。
一般に被害が公開されている情報と、警察執行機関へ報告される被害件数で対象の規模が異なるという点はありますが、製造業の被害件数が多くなるという傾向は2017年から現在まで変わっていないことが推察されます。

製造業へランサムウェア被害が多い理由としては、

といった理由が考えられます。
攻撃が成功しやすいという理由で、攻撃者が特定業種の企業を集中的に狙うということは十分に考えられますので、注意が必要です。

アンケート調査結果

アンケート結果から、ランサムウェア感染、エモテット感染、ウェブサイトからの情報漏えい、それぞれの平均被害金額は以下のようになっています。

表1　被害種別の平均被害額

いずれの被害種別の平均被害額も1千万円を超えており、インシデント発生時には大きな金銭的な被害を被ってしまうことが伺えます。また、今回のアンケート結果にはインシデント対応のための内部の人件費や逸失利益は含まれておらず、実際の損失はより高額になると考えられる点には注意が必要です。

今回の調査結果では平均被害額が2,386万円となっていますが、ランサムウェア被害にあってしまった場合、適切なバックアップ体制を構築していなければシステムの復旧自体が難しくなってしまいます。そのため、調査結果の被害額に加えて大きな利益損害が発生してしまった組織もあるのではないでしょうか。
また、回答のあった全組織において身代金の支払いはなかったとのことですが、攻撃者へ身代金を支払ったとしても正常に暗号化されたデータが復旧できるとは限らず、犯罪組織への資金提供となる点からも、基本的に支払いは行わないほうが良いと考えられます。

ウェブサイトからの情報漏えいに注目すると、漏えいした情報にクレジットカード情報が含まれるかどうかで、約900万円の平均被害額の違いがあることがわかります。これは、漏えいしたクレジットカード情報の不正利用額の賠償や、クレジットカードの再発行費用などが影響していると考えられます。このように、取り扱う情報によってインシデント発生時に必要な対応や被害額が変わることも考慮してインシデント発生時のリスク想定、セキュリティ対策の決定などをしておくことが必要です。

被害企業へのインタビュー

被害組織へのインタビュー内容からは、インシデント発生時の対応や、詳細な被害額を知ることができます。

エモテット感染被害にあってしまったある企業の被害額は、インシデント対応のための内部の人件費を含め1,800万円となっています。
こちらの企業は従業員規模が数十名ながらもBtoC業態であり、個人情報漏えいのおそれがあったことから顧客への見舞品配布を行っており、1千万以上の被害額となっています。このことから、業態や扱う情報によって企業規模に関わらずインシデント被害額が大きくなってしまうことがわかります。

ランサムウェア感染被害にあってしまった企業の被害額は、システム復旧や顧客への見舞品購入などで1億2,400万円となっています。こちらの被害額には内部の人件費、利益損失が含まれておらず、実際の被害額はさらに大きくなります。
被害金額の大きさに加えてシステム復旧に2ヶ月、会社全体の業務の正常化に7ヶ月を要すなど長期間の対応も必要になっており、重大なインシデントが1回でも発生してしまうと事業継続へ多大な影響が及ぼされてしまうことが伺えます。

また、「うちは大丈夫という思いが少なからずあった。」「他人事と捉えていた。」と、どちらもサイバー攻撃が発生していることは認識していても、自社が被害に遭うとは思っていなかった旨のコメントをされているのが印象的です。
攻撃者が特定業種を狙うということを前述しましたが、特に対象とする組織などを定めず、脆弱性が存在するネットワーク機器やウェブサイトの探索、攻撃を行う攻撃者も多くいます。テレワークの普及などインターネットを利用した事業が当たり前になっている中、常に攻撃の脅威があるということを、改めて自分事として考えていく必要があります。

まとめ

本ブログでは、インシデント発生時に生じる損害を整理し、実際の被害額を調査した結果をまとめた「サイバー攻撃を受けるとお金がかかる～インシデント損害額調査レポートから考えるサイバー攻撃の被害額～」という報告書についてご紹介しました。

適切なセキュリティ対策の決定のためには、サイバー攻撃によるリスクを正しく認識しておくことが重要です。
攻撃動向や、システムへのリスクアセスメントによる技術的なリスクだけでなく、サイバー攻撃によって発生する金銭的な損害を整理するきっかけになれば幸いです。

参考文献

執筆者の他の記事を読む