トレンドマイクロは、日本と米国、ドイツの製造や電力、石油、ガス業界の法人に行った「産業制御システムのサイバーセキュリティ実態調査」の結果を発表した。被害経験は3カ国とも9割を超え、日本の平均損害額は約2億6906万円だった。
調査は、産業制御システムを運用する従業員1000人以上の組織でサイバーセキュリティ対策の意思決定に関与する900人(各国300人)を対象として、2~3月に実施した。それによると、サイバー攻撃で産業制御システムの稼働が中断したという回答者は、日本で91.3%、米国で92.0%、ドイツで93.0%に上った。
![日本の回答者が直近1年間に経験した産業制御システムの中断回数(出典:トレンドマイクロ)](/storage/2022/07/12/ac3ff71135dbd4a0cbbe2fa609f4db89/trendmicro071101.jpg)
日本の回答者が直近1年間に経験した産業制御システムの中断回数(出典:トレンドマイクロ)
日本の回答者の98.2%は、産業制御システムの中断で事業の供給活動に影響が出たとした。直近1年間における日本での中断の発生回数は、「6~10回」が43.3%で最も多く、以下は「1~5回」(25.7%)、「11~15回」(21.3%)などだった。
産業制御システムの中断がサプライチェーン(供給網)に与えた影響では、「供給計画の変更」が48.9%で最多だった。以下は、「供給の一時的な削減と供給計画の変更」が25.9%、「供給の一時的な削減」が23.4%。「影響なし」は1.8%だった。
![日本の回答者が直近1年間に経験した産業制御システムの中断日数(出典:トレンドマイクロ)](/storage/2022/07/12/0f512b1bd208c3a7388826d40eda88d3/trendmicro071102.jpg)
日本の回答者が直近1年間に経験した産業制御システムの中断日数(出典:トレンドマイクロ)
産業制御システムの中断期間は、「2~3日」が38.0%で最も多く、以下は「4~7日」が26.6%、「1日以内」(22.3%)、「8~14日」が11.3%、「15~29日」が1.8%だった。
日本での業界別の平均損害額は、電力が約3億6730万円、石油およびガスが約2億9502万円、製造が約1億5661万円だった。損害の内容はインシデント対応費やランサムウェアなどによる復旧関連費、再発防止対策の構築費、事業運営のための追加費用、システムが動作不能になったことでの売上損失、その他費用などになる。
![日本の回答者における業界別平均損害額(出典:トレンドマイクロ)](/storage/2022/07/12/40f6041a7bfd0c23a0e634aa1b15f6eb/trendmicro071103.jpg)
日本の回答者における業界別平均損害額(出典:トレンドマイクロ)
トレンドマイクロは、日本の産業分野で生産管理システムや製造実行システム(MES)、監視システムなどのクラウドサービスが利用されているとし、調査では回答者に経験したサイバー攻撃の内容も尋ねた(複数回答)。回答者が多く挙げたものは、「クラウドサービスの脆弱性悪用攻撃」(53.3%)や「ソフトウェアサプライチェーン攻撃」(53.0%)、「分散型サービス妨害攻撃」(51.7%)、「クラウドサービスの設定の不備を突く攻撃」(48.7%)、「ランサムウェア」(38.3%)、「ワーム型マルウェア」(35.0%)だった。
![日本の回答者が直近1年間に経験した産業制御システムへのサイバー攻撃の内容(出典:トレンドマイクロ)](/storage/2022/07/12/93199dcf8360e17cac4dc758205f3e83/trendmicro071104.jpg)
日本の回答者が直近1年間に経験した産業制御システムへのサイバー攻撃の内容(出典:トレンドマイクロ)