サイバー攻撃対応BCPの整備進まず、2025年上半期の脅威情勢などを公表 警察庁
警察庁サイバー警察局は9月18日、今年上半期(1~6月)のサイバー空間をめぐる脅威の情勢とサイバー特別捜査部の活動状況などをとりまとめ、公表しました。同期間におけるランサムウェアの被害報告件数は116件と半期ベースでは2022年下半期と並び最多となりました。被害企業・団体に業務継続計画(BCP)の策定状況を尋ねたところ、約半数はBCPを策定しておらず、策定済みの組織であっても9割弱はサイバー攻撃を想定に含まないBCPとなっていました(有効回答数は50件)。
公表資料によると、今年上半期のランサムウェアの被害報告件数は、前年同期比2件増の116件でした。被害組織を規模別でみると、中小企業が66%を占めて最多となり、大企業は30%、団体等が4%でした。特に中小企業の被害報告件数は半期ベースで過去最多を記録し、被害件数に占める割合も過去最高となっています。
警察庁はランサムウェア被害組織にアンケート調査を実施しています。その結果、有効回答39件のうち59%が、調査・復旧に1,000万円以上の費用を要したことが明らかになりました。ランサムウェア被害は経営に大きな影響を及ぼしていますが、サイバー攻撃を想定したBCPを策定している組織は少数にとどまっています。
ランサムウェア被害組織のうち、サイバー攻撃を想定したBCPを整備していたのはわずか6%でした。サイバー攻撃は地震などの自然災害とは被害の性質が大きく異なり、調査・復旧作業や広報対応も特有の方法となります。そのため事前にサイバー攻撃を想定したBCPを整備することが求められています。
なお、警察庁は今夏、ランサムウェア「Phobos」および「8Base」によって暗号化されたデータを復号するツールを開発し、無料で公開しました。日本国内ではこのツールを用いて少なくとも14の被害企業が約87万件のデータ復号に成功したと記されています。
今年3月にはボイスフィッシング(ビッシング)による法人口座の不正送金被害が急増しました。この手口は昨年秋以降から増えたとされ、今年2月の被害件数は23件で被害額は4.3億円、同3月には被害件数が30件、被害額は14.8億円に達しました。
ボイスフィッシングは犯罪グループが企業に電話をかけ、ネットバンキングの更新手続きなどを装ってメールアドレスを聞き出し、その後フィッシングメールを送付する手口です。地方を拠点とした中小規模の金融機関で多くの被害が発生したほか、1回あたりの不正送金額が約4億円にのぼる高額被害も確認されています。警察庁は関係機関と連携し注意喚起を実施、今年の5月と6月には被害は確認されませんでした。
今年5月に成立・公布されたサイバー対処能力強化法および同整備法についても取り上げられています。整備法により警察関係では警察官職務執行法の一部が改正されました。サイバー攻撃による重大な危害を防止するため、警察がアクセスや無害化の措置を講じることを可能とする規定が新設されました。この規定は来年11月までに施行されます。
