サイバー攻撃を受けた企業は、金額にしてどれだけの被害を受けるのか──日本ネットワークセキュリティ協会は10月24日、実際にサイバー攻撃の被害に遭ったことがある企業70社から回答を得たこんなアンケートの結果を公開した。ランサムウェア攻撃やマルウェア「Emotet」など、サイバー攻撃の種別ごとに情報を資料として取りまとめている。
例えばランサムウェア攻撃(8社から回答)の場合、直接的な被害額と、事後対応などで必要だった間接的な費用の合計は、平均2386万円だった。ただし、被害に遭った企業の多くが機会損失の被害額を把握していないと答えたといい、実際の額はより大きい可能性がある。対応に要した工数の平均は27.7人月だった。
Emotet(11社から回答)の場合、被害額の平均は1030万円だった。日本ネットワークセキュリティ協会によれば、回答の数値にばらつきがあったといい「被害金額が2000万円以上と回答した組織がある一方で、数十万円など極端に低い額を回答した組織がある」(日本ネットワークセキュリティ協会)としている。
原因については「事故原因調査や対外発表、再発防止策をしっかりと行った組織と、感染端末の再インストールのみを行った組織に分かれた結果」との見方を示している。対応に要した工数は平均2.9人月だった。
Webサイトからの情報漏えい(22社から回答)の場合、被害金額はクレジットカード情報の流出を含む場合平均3843万円、含まない場合は2955万円だった。
両者に差がある原因については「クレジットカード情報が漏えいした場合、損害賠償額が大きくなる傾向があること、不正利用に対するカード会社からの求償が発生することが要因」(日本ネットワークセキュリティ協会)と推測している。対応に要した工数の平均はクレジットカード情報を含む場合は平均13.3人月、含まない場合は13.5人月だった。
残る29社はDDoS攻撃や、情報漏えいを伴わないWebサイトの改ざんといった攻撃を受けたという。ただし被害金額などの回答は資料に取りまとめなかった。
調査は7月24日から9月30日にかけて実施。情報セキュリティ系のWebメディアやブログなどの情報を基に、2017年1月から22年6月の間にサイバー攻撃の被害を発表した企業約1300社にアンケートを依頼したという。なお、今回のデータは回答内容を速報として取りまとめたもので、後日より詳細に分析した資料を公開する予定。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR