株式会社サイバーセキュリティクラウドは2月21日、個人情報流出事案におけるサイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。
同レポートは、2022年1月1日から2023年11月30日の期間に公表された法人・団体における不正アクセスに関する被害規模1,000件以上の主な個人情報流出事案92件を対象に、サイバー攻撃の発生から発覚・公表までの期間ついて調査したもの。
同レポートによると、被害組織への「攻撃発生」から「攻撃発覚」までには平均397日を要し、過去(2020年9月から2021年8月までを対象期間)の調査と比較し48日長期化していることが判明した。「攻撃発覚」から被害の「公表」までには平均77日を要し、過去調査と比較し5日短くなっている。
「攻撃発生」から「攻撃発覚」までに要した期間を「1年未満」と「1年以上」に分類した場合、「1年以上」は43.2%と過去調査と比較し11.4%増加している。同レポートでは「攻撃発覚」までに1年以上かかった要因として、未知の脆弱性(Zero-Day)を利用した攻撃で、その脆弱性が公に知られるまで検出されないことや、新機能やアップデートが頻繁に行われるWebアプリケーションの更新及び監視に割くリソースやコストなどの問題から、脆弱性が長期間にわたって放置されるケースを挙げている。
「攻撃発覚」から「公表」までの期間を分類したところ、1ヶ月以上は57%となり、長期化の背景として、公表までに被害の原因や影響範囲の特定、影響を受ける利害関係者への適切な通知・説明が求められる中で企業側の人材が不十分であること、攻撃発覚から公表までのプロセスに関する明確なレギュレーションが設けられていないことなどの要因で公表までの時間が長期化していると推測している。
「攻撃発生」から「攻撃発覚」までに要する期間について上場企業と非上場企業で比較したところ、上場企業は平均103日、非上場企業は平均647日であった。「攻撃発覚」から「公表」までに要する期間を比較したところ、上場企業は平均37日、非上場企業は平均111日となり、コンプライアンスの遵守やステークホルダーへの影響を重視し、迅速な対応を上場企業が求められていることが、この差の一つの要因と推測している。
