ランサムウェア感染被害組織にインタビュー調査、「インシデント損害額調査レポート 別紙『被害組織調査』2025年版」を公表 JNSA
日本ネットワークセキュリティ協会(JNSA)はこのほど、2017年1月~2024年6月までの7年半の間に国内でサイバー攻撃の被害にあった組織の統計情報と、アンケート調査やインタビュー結果などをまとめた「インシデント損害額調査レポート 別紙『被害組織調査』2025年版」を公表しました。これは、2024年2月に公表した文書「インシデント損害額調査レポート 別紙『被害組織調査』」の内容を拡充したものになります。
2024年2月に公表した調査レポートでは2017年1月~2022年6月までを調査対象とし被害実態をまとめました。今般拡充された内容は、調査対象に2022年7月~2024年6月までを追加し、被害件数などをまとめるとともに、サイバー攻撃の被害組織に対して新たにアンケート調査およびインタビュー調査を行い明らかになった被害実態です。
サイバー攻撃の被害件数については、セキュリティ情報サイトや被害組織が公表した公式サイト情報、セキュリティ関係のサイト情報などを参考にしています。新たに対象とした期間(2022年7月~2024年6月)における被害件数は522件、2017年1月~2024年6月までの累計では1,842件となりました。
被害組織に対してアンケート調査を行い、118件の有効回答を得られました(回答率約6.6%)。アンケートではランサムウェア被害について個別に尋ねており、2022年7月~2024年6月の間にランサムウェア感染したという回答は21件でした。被害金額は平均値が6,019万円、中央値は3,800万円でした。1億円以上と回答した組織も3件ありました。ただ、ランサムウェア感染によって業務中断となったことによる利益損失額や、内部工数コストを含めていない回答も複数あったため、企業全体の損害額は平均値および中央値ともに実態は間違いなく上振れしていると指摘しています。
被害組織へのインタビュー調査は新たに6組織が追記されています。例えば東海地方にある製造業(従業員規模1,000名以上)の事例では、サーバーやパソコンがランサムウェア(LockBit 3.0)に感染し、被害額は9,740万円になりました(利益喪失分は含まない)。
内訳としては、事故原因・被害範囲調査費用850万円▽システム復旧費用1,570万円▽法律相談費用120万円▽広告・宣伝活動費用(おわび状)400万円▽再発防止費用(EDRを導入)4,200万円▽超過人件費1,700万円▽損害賠償金(販売店の追加コストを補填)900万円――でした。
このほか、2024年に発生したランサムウェア感染事案について委託元3社へのインタビュー調査結果も追記されています。業務委託先がランサムウェア感染し、個人情報保護委員会へ委託先との連名で確報を連絡したこと、情報漏えいはないことを確認するも情報漏えいの「おそれ」はあるため、臨時でコールセンターを開設し対応したことなどが具体的に記載されています。
