S＆P 500企業の半数以上が個人情報の流出を経験 SecurityScorecardが脅威実態調査：セキュリティニュースアラート

SecurityScorecardはS＆P 500企業を対象とした脅威脅威調査を発表、52％の企業が個人情報の流出を経験していると報告した。これらの企業はランサムウェアグループにも目を付けられており、高額の身代金を要求されている。

[後藤大地，有限会社オングス]

　SecurityScorecardは2024年4月26日、「S＆P 500」を構成する米国企業（以下、S＆P 500企業）を対象とした脅威調査「S＆P 500 サイバー脅威レポート」を発表した。

S＆P 500企業の半数以上が個人情報の流出を経験

　このレポートはCISO（最高情報セキュリティ責任者）向けにまとめられたもので、S＆P 500企業の21％が2023年に情報漏えいの被害に遭った経験があることが報告されている。

　同レポートの主な調査結果は以下の通りだ。

• S＆P 500企業の21％が2023年に情報漏えいがあったと報告している。サイバー攻撃者はランサムウェア攻撃によってS＆P 500企業に対して高額の身代金を要求できると考えている。ランサムウェアグループの要求額は日本円で数千万円に上る
• 上記侵害の25％は金融サービスおよび保険会社が被害に遭っている。金融業界は相互に関連しているという特徴があるため、1つの機関や普及している製品が侵害されることで業界全体に広範な影響が及ぶ可能性がある
• 52％の企業が個人情報の流出を経験している。サイバー攻撃者はソーシャルエンジニアリング攻撃を活用して従業員情報へのアクセスに成功している。熟練したサイバー攻撃者はさまざまな情報源を組み合わせることでソーシャルエンジニアリング攻撃をカスタマイズし、最大限の損害を与えたり従業員になりすましたりしている
• サプライチェーン攻撃が重大な影響を及ぼしている。サイバー攻撃者は標的企業に直接アクセスできない場合にその企業のベンダーやパートナー経由で攻撃を仕掛ける。SecurityScorecardの調査によると、98％の企業が侵害経験のあるサードパーティーとの関係を有している