サイバー攻撃における被害の実態

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の「サイバー攻撃被害組織アンケート調査」により、ランサムウェア平均被害額は2,386 万円と発表されました。

国内のサイバー攻撃の被害組織で実際に生じたコストを調査するために、2017年1月から2022年6月までの5年半に報道のあった国内で発生したサイバー攻撃情報を収集し、被害組織の情報を調査し約1,300組織をリストアップし、アンケート調査を行ったものです。

また、ランサムウェア感染組織へのアンケート結果によると、データを復旧できた組織は50％で、全てバックアップデータからの復旧とのことで、アンケートに回答したランサムウェア被害組織すべてが「身代金は支払っていない」と回答しています。

警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」では、2023年上半期に警察庁に報告のあった「企業・団体等におけるランサムウェア被害」の件数は103件に上り、そのうち約6割を中小企業が占めています。

サイバー攻撃から企業を守るには

では、企業を守るために、企業は何をしなければならないのでしょうか。

まずは、定期的に情報セキュリティの監査を受けるなど、現状を把握しましょう。現状を把握したうえで、セキュリティリスクがある場合は、優先順位の高いものから一つ一つ確認していきましょう。例えば、バックアップの体制の見直しする場合、バックアップデータのとり方に問題はないか、またはバックアップデータから復旧できるかなど、定期的に確認しましょう。

また、被害の原因は、社外から社内の業務システムの接続に使うVPNやパソコンを遠隔操作する「リモートデスクトップ」などテレワークで利用するツールの脆弱性を狙われたものが大半であったと言われております。テレワーク時のルールは明確に定められているか。OSおよびソフトウェアを常に最新の状態にしているか。セキュリティソフトを導入し、定義ファイルを常に最新の状態に保っているかなど確認しましょう。

メールの添付ファイルを開くことやURLをクリックするだけでもウイルスに感染する可能性がありますので、心当たりのないメールなどは安易に開かないようにしましょう。様々な対策をとり、社員教育をおこなったとしても、それでも、リスクをゼロにすることは困難です。万が一ウイルスに感染しても影響がない環境を用意することも重要です。

企業を守るためにも、改めてIT-BCP対策（ITシステムのBCP対策）を見直してはいかがでしょうか。

※1　特定非営利活動法人日本ネットワークセキュリティ協会「サイバー攻撃被害組織アンケート調査
※2　警察庁「ランサムウェアの脅威と対策」
※3　IPA独立行政法人情報処理推進機構「ランサムウェアの脅威と対策」