2020年も悪名高い「EMOTET」の拡散メールやデータの暗号化に加えて情報暴露をもとに脅迫し身代金を要求する情報暴露型のランサムウェア攻撃など、国内の法人組織は深刻なサイバー攻撃にさらされてきました。しかしながら、こうした脅威によって発生するセキュリティインシデントのうち対外的に公表される事例は一部に過ぎず、脅威の実態は表面化していないのが現状だと考えられます。
トレンドマイクロでは、国内の民間企業や官公庁自治体などの法人組織を対象に、セキュリティインシデントの発生状況、経営層のセキュリティリーダーシップの有効性、IT環境やシステムへの懸念を把握する目的で「法人組織のセキュリティ動向調査」を実施しました。
本記事では回答者の法人組織が経験したセキュリティインシデントの傾向を捉えることで、その実情から警戒すべき脅威についてご紹介します。
■セキュリティインシデント発生率は8割に
2019年4月~2020年3月末の1年間におけるセキュリティインシデントについて調査したところ、何らかのセキュリティインシデントが発生した組織はおよそ78.5%となり、約8割がセキュリティインシデントを経験しているという深刻な結果となりました。
.png)
図 1:法人組織におけるセキュリティインシデント発生率(業種別)
セキュリティインシデント別で見た場合、上位から「フィッシングメールの受信」が42.8%、「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%と続きました。上位2つのセキュリティインシデントがメールによる脅威となっていますが、これはサイバー犯罪者にとってメールという手段が攻撃に悪用しやすく、様々なサイバー攻撃に利用されていることが要因といえます。実際にトレンドマイクロで検出した全世界の脅威のうち、メールからの脅威が9割以上※[1] を占めています。フィッシングメールやビジネスメール詐欺といった人を騙す手口がサイバー犯罪者の常套手段であるため、法人組織では技術的なメール対策だけでなく、従業員が騙されないためのセキュリティ教育も重要です。
図 2:法人組織におけるセキュリティインシデント発生率内訳
また、特に注目すべき点として標的型攻撃は22.2%、ランサムウェア感染は17.7%の回答者が自組織でこれらのインシデントを経験していることです。本調査の数字だけでなく、トレンドマイクロでは実際に標的型攻撃で見られる巧妙な内部活動を行った上で、ランサムウェアによるデータの暗号化が行われた事例を確認しています。これらのインシデントは時に甚大な被害を引き起こすことを考慮すると、本調査の回答者のうち約5人に1人が標的型攻撃やランサムウェア感染を経験している状況は深刻だと言えるでしょう。
法人組織ではランサムウェアを単体のマルウェア感染という脅威としてではなく、一連の巧妙なサイバー攻撃における一つの要素であると捉え、侵入から情報窃取、最終的なランサムウェアによるデータ暗号化までのフローのどこかで脅威を検知できるような対策が必要です。
■年間平均被害額は約1億4800万円
本調査の対象者のうち43.8%が自組織においてインシデントに起因した何らかの被害を経験していることが明らかになりました。また、システムやサービスの停止による損失額、インシデント対応にかかった費用から原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害額は約1億4800万円という結果でした。インシデントの被害に遭った場合、前述の通りインシデント対応や改善策の導入にかかる費用だけでなく、システムやサービス停止による事業の機会損失も発生します。
図 3:セキュリティインシデントによる年間総被害額
リサーチペーパー「サイバー攻撃から組織を守るために経営層ができること- 2020年度法人組織のセキュリティ動向調査」では、セキュリティインシデントによる実被害を抑えるために企業が取り組むべきポイント、経営層が実施できることについて調査データを基に解説しています。
また、セキュリティインシデントの発生状況をはじめとする各種データを従業員規模別・業種別でご覧いただけます。本調査の詳細は以下よりご確認ください。
