世界中を震撼させた WannaCry や Petya をはじめ、ここしばらくランサムウェアが国内でも非常に大きな話題になりました。工場の操業停止や病院で診療不能に陥るといった事態が国内外で多数発生していることからも、ランサムウェアが深刻な被害を企業にもたらしているのは周知のとおりです。しかし企業や団体が直面するサイバー攻撃の脅威は、なにもランサムウェアに限りません。トレンドマイクロが今年実施した調査では、国内法人組織の約 4 割がランサムウェアによる業務データの暗号化から個人情報の漏えいに至るまでの様々な「重大被害」に直面していることが明らかになりました。
個別の事例は報道などで明らかになる一方で、サイバー攻撃による被害の全貌は、限られた被害事例からはなかなか把握しにくいのが実情です。サイバー攻撃の被害がどれだけ深刻なのか、国内の民間企業や官公庁自治体といった法人組織がどのような脅威に直面しているのかを定量的に評価する目的で、トレンドマイクロでは今年も「法人組織におけるセキュリティ実態調査2017年版」を実施しました。この調査では、法人組織におけるサイバー攻撃被害がどれだけ深刻なのかはもちろん、法人組織においてどのような対策が行われているのかなど多岐にわたる調査を行っています。
■個人情報の漏えいは深刻
調査の結果、国内の民間企業や官公庁自治体といった法人組織の 41.9% が、2016 年一年間に何らかの「重大被害」を経験していることが明らかになりました。ここでいう重大被害の発生率とは、単なるウイルス感染や不正サイトへのアクセスなどにとどまらず、そのようなセキュリティインシデントの結果として情報漏えいやシステム・サービスの停止といった二次被害、三次被害を経験している組織の割合を意味しています。被害の内訳をみてみると、「従業員・職員に関する個人情報の漏えい」が最も多く、次いで「顧客に関する個人情報の漏えい」が 2 番目に多い結果となりました。事業に関する情報や技術情報などを含め、実に 31.1% が何らかの情報漏えい・流出被害を経験しています。2016 年にはマイナンバー制度がはじまり、今年 5月から改正個人情報保護法が施行され、また昨年 12 月には割賦販売法が改正されるなど、個人情報を取り巻く制度、法律には国内でも大きな動きがありました。加えて、海外では EU 圏内の個人情報を取り扱う国内の事業者にも大きな影響を与えうる、ヨーロッパ連合(EU)が定めた一般データ保護規則(GDPR)が 2018 年 5 月から本格的に施行されます。これらいずれもが、個人情報の取り扱いの重要性だけでなくセキュリティ対策を義務として定めています。GDPR については、違反が認められた際には最大で全世界売上の 4% あるいは 2,000 万ユーロ(2017 年 8 月現在日本円で約 26 億円)のいずれか多い額が追徴金として課せられることになります。事業者が取り扱う個人情報の重要性が法規制の観点でもこれまで以上に高まる中で、10 社あれば 3 社で発生している計算になる情報漏えい・流出事故は、国内において深刻な問題になっているといわざるを得ません。
図 1:重大被害を経験している法人組織の割合(n=1,361)
■国内にも深刻なダメージを与えるランサムウェアとビジネスメール詐欺
2016 年に国内でも深刻な問題となり、2017 年に入っても WannaCry や Petya といった脅威が世界中を震撼させたランサムウェアについても、国内法人組織の 7.6% が業務データ暗号化という被害を経験したことがわかりました。トレンドマイクロにおいても、2016 年の一年間で実に 2,350 件の法人組織からの被害報告・相談に国内で対応していますが、これらの数値からも国内においてランサムウェアが急速な勢いで事業継続を脅かす脅威になったことが伺い知れます。
脅威という観点でもう一つ顕著なのが、ビジネスメール詐欺(BEC)です。取引先の担当者や組織内部の経営層・上層部を偽ったメールをきっかけに高額の金銭を騙し取るのがビジネスメール詐欺ですが、法人組織の実に 4.7%、3.6% がそれぞれによる金銭詐欺被害に遭っていることがわかりました。それぞれ別々にみると 11 位、12 位になりますが、取引先、経営層・上層部いずれかのメールによる金銭詐欺となると、実に 7.4% が被害に遭っていることになり、ランサムウェアに次いで 5 番目に深刻な脅威ということになります。FBI 発表データによると、2013 年 10 月から2016 年 12 月までの約 3 年間で全世界で 40,203 件、合計被害額は約 53 億米国ドルという被害が報告されており、一件当たりの平均被害額は約 13 万ドル(執筆時レートで約 1,440 万円)にも上る深刻な犯罪です。今年に入り国内でも被害事例が報道されはじめてはいるものの、比較的認知が低いビジネスメール詐欺に、2016 年一年間ですでに 7.4% が被害に遭っていることからも、国内法人組織が今後ではなくいままさに注意すべき脅威になっているといえます。従来では海外で発生しているサイバー攻撃が国内にたどり着くまでには数年を要していましたが、ランサムウェアやビジネスメール詐欺のような比較的新しいサイバー攻撃が日本を標的にするまでの時間差が確実に短くなっていると考えられます。
また重大被害を経験している組織における年間被害額は、平均 2 億 3,177 万円と対前年比で 10% 増加しています。一昨年の調査では、1 億 3,150 万円だったことから倍近くにまで膨れ上がってきていることがわかります。また、重大被害経験組織の 29.5% で年間被害額が 1 億円を超え、昨年と比べても 4.2% 増加しています。インシデント発生時の調査費用はもちろんですが、情報が漏えいしている場合の対応として発生するコールセンター増員や賠償・お詫びの送付、訴訟対応、システム復旧・改修といった形で、重大被害を経験した場合には様々なものが「コスト」という形で組織に跳ね返ってきます。個人情報をはじめとして情報漏えいやランサムウェアによる業務データの暗号化、さらにはビジネスメール詐欺による金銭詐欺と、サイバー攻撃による経済的なダメージが年々大きくなりつつあることが推測できます。
図 2:重大被害経験組織における年間被害額内訳(n=530)
■国内組織はこれまで以上にセキュリティ投資に前向き?
2016年に始まり WannaCry、Petya と続いたランサムウェア騒動ですが、この騒動はセキュリティ予算にどのような影響を与えたのかについても調査しました。ランサムウェア騒動を受けて、実に全体の 22.5% が予算を増加し、21.6% が予算増加に向けて調整している段階にあることがわかりました。調査対象の半数近くが予算増加に向けて組織内部で動いたことを考えると、いかにこの従業員の業務はおろか事業自体を停止に追い込みかねないランサムウェアが、国内の民間企業や官公庁自治体にとって深刻な脅威として認知されているかが伺い知れます。定量的な数字がないので直接的な比較はできませんが、数年前に標的型サイバー攻撃が国内で問題になり始めた際には、騒動を受けてセキュリティ予算を増加するといった動きはあまりなかったのではないでしょうか。そのように考えると、ランサムウェアが深刻な脅威として認知されているのはもちろんですが、セキュリティ投資に前向きな法人組織が増えてきていることが推測できるのではないでしょうか。
図 3:ランサムウェア騒動を受けてのセキュリティ予算増加状況(n=1,361、数値は%)
その一方で、この数値をより詳しく見てみると、図3のように重大被害、インシデントを経験している組織ほど投資意向が高いことから、やはり残念なことに「痛みを経験しないと変わらない」という傾向が一つ見て取れます。しかし、ウイルス感染などの「インシデントのみ経験」している組織でも 13.8% が増加し、23.7% が増加に向け調整中、「重大被害もインシデントも経験していない」組織でも 7.4% が増加済み、17.5% が増加に向け調整中で、合わせると 9.5% が増加し、19.5% が増加に向け調整中という結果からも、世間で騒がれている脅威に対して敏感に反応する法人組織がこれまで以上に増えているといえるかもしれません。
「法人組織におけるセキュリティ実態調査2017年版」では、このようなセキュリティインシデントによる被害実情や対策の実態などが、全体的な数値はもちろん、業種別、地域別、規模別でも把握することができます。当調査のより詳しい情報は、「法人組織におけるセキュリティ実態調査2017年版」をダウンロードしてご覧ください。