Hewlett-Packard(HP)によると、サイバー犯罪が企業にもたらす被害の平均額は、今回の調査で対象となった257社で年間760万ドルにのぼるという。実際の被害額は1社あたり50万ドルから6100万ドルまでさまざまであり、2013年の調査に比べると10%増加している。調査対象になった257社は、429件の「識別可能なサイバー攻撃」を受けており、平均すると1社あたり1週間に1.7件の攻撃を受けたことになる。
攻撃のなかには、他の攻撃よりも簡単なもの(被害者側から見れば被害が少ないもの)もある。4週間という期間で、実質的にほぼすべての企業が、ウイルスやワーム、および/あるいはトロイの木馬やその他のマルウェアが関係する攻撃を経験している。また、半数以上(59%)の企業がボットネットによる攻撃を受けている一方、機器の盗難を訴えた企業は半数弱となっている。なお、犯人が悪意を持つ社内の人間であった企業は35%にとどまっている。
HPおよびPonemon Instituteの調査によると、回答した企業が経験したサイバー犯罪のタイプは以下のように分類できる。
- ウイルス、ワーム、トロイの木馬:98%
- マルウェア:97%
- ボットネット:59%
- ウェブベースの攻撃:58%
- フィッシング:52%
- 悪意のあるコード:51%
- DoS攻撃:49%
- 機器の盗難:49%
- 悪意を持つ社内の人物:35%
しかし、悪意を持つ社内の人物がからむ犯罪は、最も被害額の大きい攻撃であり、平均被害額は21万3542ドルだった。また、DoS攻撃の被害額が16万6545ドルであった一方、ウェブベースの攻撃は被害の後始末に11万6424ドルかかったという。事業への影響に続き、データの喪失、売り上げの消失がサイバー攻撃による被害の大半(94%)を占めているという。
同レポートでは、侵入防止システム(IPS)や、ネットワークインテリジェンスシステムといった賢いツールによって、こういった攻撃の被害を軽減できると指摘しているが、現実的にサイバー攻撃はハードウェアやソフトウェアだけで解決できる問題ではない。
サイバー犯罪者が現実的な確率で逮捕されて罰せられるようにならない限り、デジタル分野での不正行為はなくならないだろう。そして、その実現も難しいと思われる理由がいくつもある。
まず、企業は攻撃を受けたことを認めたがらない。
さらに深刻なのは、多くのサイバー犯罪者が手の届かないところにいること。犯罪者の多くは、攻撃対象の企業から遠く離れた場所に住み、警察組織も逮捕できずにいる。
そして、さらに悪いことに、不正侵入を試みるのが犯罪者だけではないことだ。すべての国の諜報機関がデジタルスパイ活動に関与し続けており、これが企業によるシステムの保護や、警察当局の介入を難しくしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。