特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は7月23日、「インシデント損害額調査レポート 別紙 2025年版」を発表した。
同レポートは、2017年1月から2024年6月までの7年半にわたる国内のサイバー攻撃の被害組織について、組織の規模、業種、サイバー攻撃の種別ごとに集計した統計情報、アンケート調査で判明したサイバー攻撃の被害組織が被った損害額、アンケート調査に回答のあった被害組織へのインタビューをまとめたもの。
同レポートの対象となるのは、2017年1月から2024年6月までの7年半のサイバー攻撃に関する被害の公表または報道等 約1,800件で、サイバー攻撃について「ランサムウェア感染」「ウェブサイトからの情報漏えい」「エモテット(Emotet)感染」「その他」の4つに大別し集計している。
被害組織の規模別件数・割合を見たところ、大企業が576件で31%、中小企業が814件で44%、団体等が452件で25%となった。
被害組織の業種別件数・割合を見たところ、製造業が405件(22%)で最多となり、卸売業・小売業が319件(17%)、情報通信業が241件(13%)、サービス業が174件(9%)と続いた。
サイバー攻撃の種別構成を見たところ、「ウェブサイトからの情報漏えい」が594件(30%)、「その他」が573件(31%)、「エモテット(Emotet)感染」が375件(20%)、「ランサムウェア感染」が345件(19%)であった。しかし、直近2年間では、「エモテット(Emotet)感染」が10件(2%)と大幅に減少する一方で「ランサムウェア感染」が174件(33%)と拡大したことが判明した。
ランサムウェア感染被害組織からのアンケート結果によると、被害金額は100万円未満が1件、500万円以上1,000万円未満が3件、1,000万円以上5,000万円未満が14件、5,000万円以上1億円未満が5件、1億円以上が3件で平均値は4,959万円、中央値は3,260万円であった。また、直近2年間では平均値が6,019万円、中央値が3,800万円とランサムウェア感染による損害額は増加傾向にあった。なお、ランサムウェア攻撃者に「身代金を支払った」とアンケート回答した組織は存在しなかった。
ランサムウェア感染からデータを復旧できた組織は73%で、多くはバックアップデータからの復旧で、暗号データの復号ができたという回答は1件のみであった。「復旧できなかった」という回答のなかには、そもそもバックアップを取得していなかったケースの他、バックアップデータが暗号化されてしまったケースもあった。
「ウェブサイトからの情報漏えい」について、漏えいした情報にクレジットカード情報が含まれている場合の被害金額の回答の平均値は3,608万円、中央値は1,690万円であったが、個人情報のみが漏えいした場合は平均値が2,407万円、中央値は1,165万円であった。カード情報漏えい時には、不正利用やカード再発行費用についてカード会社からの求償が生じ、損害賠償金等の損害が発生することが多く、差異としてあらわれたとしている。
サイバー攻撃被害が発覚した場合は一般的には速やかな公表が期待されるが、クレジットカード情報漏えい被害では、クレジットカード会社から即時公表の見送りを求められるケースも確認され、2ヶ月から6ヶ月程度の期間が多く、影響範囲の調査、問い合わせへの準備等のための期間と推測されるとしている。
