2020年も悪名高い「EMOTET」の拡散メールやデータの暗号化に加えて情報暴露をもとに脅迫し身代金を要求する情報暴露型のランサムウェア攻撃など、国内の法人組織は深刻なサイバー攻撃にさらされています。
しかしながら、こうした脅威によって発生するセキュリティインシデントのうち対外的に公表される事例は一部に過ぎず、脅威の実態は表面化していないのが現状だと考えられます。

トレンドマイクロでは、国内の民間企業や官公庁自治体などの法人組織を対象に、セキュリティインシデントの発生状況、経営層のセキュリティリーダーシップの有効性、IT環境やシステムへの懸念を把握する目的で「法人組織のセキュリティ動向調査」を実施しました。

今回は、その調査結果から法人組織が経験したセキュリティインシデントの傾向を捉えることで、その実情をベースに警戒すべき脅威について紹介します。

セキュリティインシデント発生率はなんと8割に

2019年4月～2020年3月末の1年間において、自組織でなんらかのセキュリティインシデントについて調査したところ、何らかのセキュリティインシデント^*1が発生したと回答した組織はおよそ78.5%となり、約8割がセキュリティインシデントを経験しているという大変深刻な結果となりました。

図 1：法人組織におけるセキュリティインシデント発生率（業種別）

セキュリティインシデント別で見た場合、上位から「フィッシングメールの受信」が42.8%、「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%と続いています。
上位2つのセキュリティインシデントがメールによる脅威となっていますが、これはサイバー犯罪者にとってメールという手段が攻撃に悪用しやすく、様々なサイバー攻撃に利用されていることが要因といえます。
実際にトレンドマイクロで検出した全世界の脅威のうち、メールからの脅威が9割以上^※2 を占めています。フィッシングメールやビジネスメール詐欺といった人を騙す手口がサイバー犯罪者の常套手段であるため、法人組織では技術的なメール対策だけでなく、従業員が騙されないためのセキュリティ教育も重要です。

図 2：法人組織におけるセキュリティインシデント発生率内訳

また、特に注目すべき点として標的型攻撃は22.2%、ランサムウェア感染は17.7%の回答者が自組織でこれらのインシデントを経験していることです。本調査の数字だけでなく、トレンドマイクロでは実際に標的型攻撃で見られる巧妙な内部活動を行った上で、ランサムウェアによるデータの暗号化が行われた事例を確認しています。こうしたサイバー攻撃において、昨今ではネットワーク侵入後にランサムウェア攻撃で身代金を要求するだけでなく、機微な情報を窃取するとともに外部に暴露すると脅す「暴露型のランサムウェア」による二重の脅迫手口も報じられています。これらのインシデントは時に甚大な被害を引き起こすことを考慮すると、本調査の回答者のうち約5人に1人が標的型攻撃やランサムウェア感染を経験している状況は深刻だと言えるでしょう。

法人組織ではランサムウェアを単体のマルウェア感染という脅威としてではなく、一連の巧妙なサイバー攻撃における一つの要素であると捉え、侵入から情報窃取、最終的なランサムウェアによるデータ暗号化までのフローのどこかで脅威を検知できるような対策が必要です。

年間平均被害額は約1億4800万円

本調査の対象者のうち43.8%が自組織においてインシデントに起因した何らかの被害を経験していることが明らかになりました。
また、システムやサービスの停止による損失額、インシデント対応にかかった費用から原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害額は約1億4800万円という結果でした。
インシデントの被害に遭った場合、前述の通りインシデント対応や改善策の導入にかかる費用だけでなく、システムやサービス停止による事業の機会損失も発生します。

図 3：セキュリティインシデントによる年間総被害額

インシデント総被害額の内訳を見ると、何らかの被害を経験したと回答した対象者の49.6％では1000万円未満の被害だった一方で、15.7%は1億円以上の被害が発生しています。
1億円以上の被害が発生した回答者のインシデント内容を見ると被害額が少ない回答者と比較して年間で経験しているインシデントの種類が多いことから、複数のインシデントによる被害で年間の総被害額が積みあがったケースもあると推測されます。
インシデントによる被害を抑制するためには、インシデントの発生を未然に防ぐ事前の対策とインシデント発生後に迅速に対処し被害を最小限に抑える事後の対応という二つの観点が重要です。事前の対策に関しては自組織の情報セキュリティリスクを明確にするためにリスクアセスメントを実施し、顕在化したリスクを適切に対処するためのリスク対応が重要となります。事後の対応に関しては、インシデント発生時に適切な対処を迅速に行うことができる、実効性を伴った組織内CSIRT^※3の存在が必要となってくるでしょう。

※1 ここでのインシデントは情報機器の紛失・盗難やメール誤送信などの過失は除きます。
※2 トレンドマイクロ「2020年上半期セキュリティラウンドアップ」より
※3 CSIRT=Computer Security Incident Response Team

更なる詳細については、リサーチペーパー「サイバー攻撃から組織を守るために経営層ができること－ 2020年度法人組織のセキュリティ動向調査」からご覧いただくことができます。

セキュリティインシデントによる実被害を抑えるために企業が取り組むべきポイント、経営層が実施できることについて調査データを基に解説しています。セキュリティインシデントの発生状況をはじめとする各種データを従業員規模別・業種別で掲載しており、参考になるのではないでしょうか。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/26357