特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は7月23日、「インシデント損害額調査レポート 別紙 2025年版」を発表した。
同レポートは、2017年1月から2024年6月までの7年半にわたる国内のサイバー攻撃の被害組織について、組織の規模、業種、サイバー攻撃の種別ごとに集計した統計情報、アンケート調査で判明したサイバー攻撃の被害組織が被った損害額、アンケート調査に回答のあった被害組織へのインタビューをまとめたもの。
同レポートの対象となるのは、2017年1月から2024年6月までの7年半のサイバー攻撃に関する被害の公表または報道等 約1,800件で、サイバー攻撃について「ランサムウェア感染」「ウェブサイトからの情報漏えい」「エモテット(Emotet)感染」「その他」の4つに大別し集計している。
被害組織の規模別件数・割合を見たところ、大企業が576件で31%、中小企業が814件で44%、団体等が452件で25%となった。
被害組織の業種別件数・割合を見たところ、製造業が405件(22%)で最多となり、卸売業・小売業が319件(17%)、情報通信業が241件(13%)、サービス業が174件(9%)と続いた。
サイバー攻撃の種別構成を見たところ、「ウェブサイトからの情報漏えい」が594件(30%)、「その他」が573件(31%)、「エモテット(Emotet)感染」が375件(20%)、「ランサムウェア感染」が345件(19%)であった。しかし、直近2年間では、「エモテット(Emotet)感染」が10件(2%)と大幅に減少する一方で「ランサムウェア感染」が174件(33%)と拡大したことが判明した。
ランサムウェア感染被害組織からのアンケート結果によると、被害金額は100万円未満が1件、500万円以上1,000万円未満が3件、1,000万円以上5,000万円未満が14件、5,000万円以上1億円未満が5件、1億円以上が3件で平均値は4,959万円、中央値は3,260万円であった。また、直近2年間では平均値が6,019万円、中央値が3,800万円とランサムウェア感染による損害額は増加傾向にあった。なお、ランサムウェア攻撃者に「身代金を支払った」とアンケート回答した組織は存在しなかった。
ランサムウェア感染からデータを復旧できた組織は73%で、多くはバックアップデータからの復旧で、暗号データの復号ができたという回答は1件のみであった。「復旧できなかった」という回答のなかには、そもそもバックアップを取得していなかったケースの他、バックアップデータが暗号化されてしまったケースもあった。
「ウェブサイトからの情報漏えい」について、漏えいした情報にクレジットカード情報が含まれている場合の被害金額の回答の平均値は3,608万円、中央値は1,690万円であったが、個人情報のみが漏えいした場合は平均値が2,407万円、中央値は1,165万円であった。カード情報漏えい時には、不正利用やカード再発行費用についてカード会社からの求償が生じ、損害賠償金等の損害が発生することが多く、差異としてあらわれたとしている。
サイバー攻撃被害が発覚した場合は一般的には速やかな公表が期待されるが、クレジットカード情報漏えい被害では、クレジットカード会社から即時公表の見送りを求められるケースも確認され、2ヶ月から6ヶ月程度の期間が多く、影響範囲の調査、問い合わせへの準備等のための期間と推測されるとしている。
同レポートは、2017年1月から2024年6月までの7年半にわたる国内のサイバー攻撃の被害組織について、組織の規模、業種、サイバー攻撃の種別ごとに集計した統計情報、アンケート調査で判明したサイバー攻撃の被害組織が被った損害額、アンケート調査に回答のあった被害組織へのインタビューをまとめたもの。
同レポートの対象となるのは、2017年1月から2024年6月までの7年半のサイバー攻撃に関する被害の公表または報道等 約1,800件で、サイバー攻撃について「ランサムウェア感染」「ウェブサイトからの情報漏えい」「エモテット(Emotet)感染」「その他」の4つに大別し集計している。
被害組織の規模別件数・割合を見たところ、大企業が576件で31%、中小企業が814件で44%、団体等が452件で25%となった。
被害組織の業種別件数・割合を見たところ、製造業が405件(22%)で最多となり、卸売業・小売業が319件(17%)、情報通信業が241件(13%)、サービス業が174件(9%)と続いた。
サイバー攻撃の種別構成を見たところ、「ウェブサイトからの情報漏えい」が594件(30%)、「その他」が573件(31%)、「エモテット(Emotet)感染」が375件(20%)、「ランサムウェア感染」が345件(19%)であった。しかし、直近2年間では、「エモテット(Emotet)感染」が10件(2%)と大幅に減少する一方で「ランサムウェア感染」が174件(33%)と拡大したことが判明した。
ランサムウェア感染被害組織からのアンケート結果によると、被害金額は100万円未満が1件、500万円以上1,000万円未満が3件、1,000万円以上5,000万円未満が14件、5,000万円以上1億円未満が5件、1億円以上が3件で平均値は4,959万円、中央値は3,260万円であった。また、直近2年間では平均値が6,019万円、中央値が3,800万円とランサムウェア感染による損害額は増加傾向にあった。なお、ランサムウェア攻撃者に「身代金を支払った」とアンケート回答した組織は存在しなかった。
ランサムウェア感染からデータを復旧できた組織は73%で、多くはバックアップデータからの復旧で、暗号データの復号ができたという回答は1件のみであった。「復旧できなかった」という回答のなかには、そもそもバックアップを取得していなかったケースの他、バックアップデータが暗号化されてしまったケースもあった。
「ウェブサイトからの情報漏えい」について、漏えいした情報にクレジットカード情報が含まれている場合の被害金額の回答の平均値は3,608万円、中央値は1,690万円であったが、個人情報のみが漏えいした場合は平均値が2,407万円、中央値は1,165万円であった。カード情報漏えい時には、不正利用やカード再発行費用についてカード会社からの求償が生じ、損害賠償金等の損害が発生することが多く、差異としてあらわれたとしている。
サイバー攻撃被害が発覚した場合は一般的には速やかな公表が期待されるが、クレジットカード情報漏えい被害では、クレジットカード会社から即時公表の見送りを求められるケースも確認され、2ヶ月から6ヶ月程度の期間が多く、影響範囲の調査、問い合わせへの準備等のための期間と推測されるとしている。
編集部おすすめ
![[本日の一品]Apple Watch Ultraにぴったり、一体感の高さと価格が魅力的な「MinZ Titanium Band 2」を購入](http://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252Fk_tai_watch%252F77%252Fk_tai_watch_1325482006768091930%252Fk_tai_watch_1325482006768091930_1_s.jpg,zoom=360x220,quality=100,type=jpg)
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)