サイバー攻撃に関する実態アンケート(2022年10月)
サイバー攻撃、4社に1社が「1年以内に被害」
~ 「1カ月以内の攻撃」、ウクライナ侵攻直後からは大幅減 ~
~ 「1カ月以内の攻撃」、ウクライナ侵攻直後からは大幅減 ~
新型コロナを背景としたデジタル化の急速な進展に加え、緊迫する世界情勢などを受け、大企業だけでなくサプライチェーンを構成する中小企業をターゲットとしたサイバー攻撃の脅威が拡大している。
こうしたなか、帝国データバンクが実施した調査[1]によると、事業継続が困難になると想定しているリスクとして、企業の約4割がサイバー攻撃などの情報セキュリティ上のリスクをあげていた。
そこで、帝国データバンクは、サイバー攻撃に対する実態についてアンケートを行った。同様の調査は2022年3月に続き2回目。
- アンケート期間は2022年10月7日~12日、有効回答企業数は1,251社(インターネット調査)
アンケート結果
企業の24.2%で、1年以内にサイバー攻撃を受けたと回答
直近1年以内でサイバー攻撃を受けたこと(可能性がある場合も含む)があるか尋ねたところ8.6%の企業で「1カ月以内に受けた」と回答した。「1カ月超から1年以内に受けた」企業[2](15.6%)と合計すると『1年以内に受けた』企業は24.2%となった。また「過去に受けたが、1年以内に受けていない」は10.6%となった。企業から寄せられた「取引先を装ったメール受信によるウイルス感染」(野菜小売)といった声にあるように、不正メール受信によるウイルス感染被害が多くみられる。
サイバー攻撃の有無
他方、企業の約半数が「全く受けたことがない」(50.4%)と回答。しかし、こういった企業からは「ウイルス対策ソフトの搭載や社内への注意勧告を行っている程度で、対策には不安がある」(金型・同部分品・付属品製造)といった声が聞かれており、自社の対策への不安など、どの程度の対策が必要か戸惑う様子もうかがえた。
サイバー攻撃を「1カ月以内に受けた」企業、3月調査より20ポイント近く低下
2022年3月に実施した同様の調査と比較すると、サイバー攻撃を「1カ月以内に受けた」企業は19.8ポイント減(3月調査[2022年2月中旬~3月中旬の状況]:28.4%→10月調査[同年9月中旬~10月中旬の状況]:8.6%)となった。3月調査時点では、2月24日から始まったロシアのウクライナ侵攻の直後においてサイバー攻撃が特に多発していたとみられる。1カ月以内にサイバー攻撃を受けた企業割合
企業からは、「不正メール受信によりウイルスに感染したため、ウイルス対策ソフトをインストールした。ロシアがウクライナに侵攻した直後に攻撃を受けたが、それ以降はない」(一般貨物自動車運送、1年以内に受けた)や「ウクライナ侵攻が始まってから、不審メールが増えたため、サイバーセキュリティサービスを依頼した」(土木工事、1年以内に受けた)といった声が聞かれた。
サイバー攻撃を受けた企業の8割近くが「支出なし」
直近のサイバー攻撃を受けた際に支出した金額[3]について尋ねたところ、「0円(サイバー攻撃を受けたが支出はない)」が77.9%で最も高かった。次いで、「100万円未満」が15.1%で続いた。企業からは、「ウイルス感染目的と思われる不正メール・不正アクセスを受けたが、セキュリティソフトにより水際で遮断。これまで実被害はないが、複数回に渡りアクセスされている」(工業用ゴム製品製造)といった声があがっていた。
サイバー攻撃を受けた際の支出額
他方、「不正アクセスによるランサムウェア被害を受けた。ウイルス対策ソフトの効果はみられず、サーバー内のExcelファイルなどがロックされ、解除キーの金銭要求があった。メーカーに連絡し、感染データは破棄してサーバーのクリーニングおよびアクセスコード変更を無料で実施してもらったほか、ゲート管理機器(約60万円)を設置した」(土工・コンクリート工事、支出額100万円未満)や「不正アクセスによる自社ホームページ改ざんが過去にあった。自社サーバーから他社クラウドへ変更したため、現在は不正アクセスの心配はなくなった」(旅館、支出額100万円~500万円未満)といった声も聞かれた。
まとめ
本アンケートの結果、1年以内にサイバー攻撃を受けた企業は24.2%となった。また、攻撃を受けたことがある企業が攻撃を受けた際に支出した額は、「0円(サイバー攻撃を受けたが支出はない)」が8割近くを占めている。直近の被害状況は、ウクライナ情勢が緊迫化したその直後よりも減少しているが、依然として予断を許さない状態が続いている。なかでも、「Emotetによりウイルスに感染し、得意先にウイルスをばらまいた」(塗装工事)といった声にあるように、サイバー攻撃により企業は被害者になると同時に加害者になったケースもみられる。
こうしたなか、政府は中小企業のサイバーセキュリティ対策を促すために、中小企業を対象に設けている「IT導入補助金」に新たな補助枠として、「セキュリティ対策推進枠」を2022年度より新設した。企業はこのような政府の補助金制度を活用して対策を強化するとともに、官民が一体となってサイバーセキュリティ対策に関する情報を効果的に発信していくことも肝要となろう。
企業の声(抜粋)
[1]帝国データバンク「事業継続計画(BCP)に対する企業の意識調査(2022年)」(2022年6月14日発表)[2]「1カ月超から1年以内に受けた」企業は、「3カ月以内に受けた」「半年以内に受けた」「1年以内に受けた」の合計
[3]支出額は、原状回復や防止策などの対応費、損害賠償費用などを含む。「0円(サイバー攻撃を受けたが支出はない)」、「100万円未満」、「100万円~500万円未満」、「500万円~1000万円未満」、「1000万円~3000万円未満」、「3000万円~5000万円未満」、「5000万円~1億円未満」、「1億円~5億円未満」、「5億円~10億円未満」、「10億円以上」と「分からない」の11選択肢で調査
【内容に関する問い合わせ先 】
株式会社帝国データバンク 情報統括部
担当:石井 ヤニサ、池田 直紀
TEL:03-5919-9343
E-mail:keiki@mail.tdb.co.jp
リリース資料以外の集計・分析については、お問い合わせ下さい(一部有料の場合もございます)。