トレンドマイクロは12月10日、過去3年間にサイバー攻撃を経験した国内法人組織を対象に実施した「セキュリティ成熟度と被害の実態調査 2024」の結果を発表した。「ビジネスメール詐欺(BEC)」被害が18.3%で最も多く、被害額はランサムウェアで平均約2億2000万円に上った。
調査は9月に、特定非営利活動法人のCIO Loungeと共同で過去3年間にサイバー攻撃を経験している従業員500人以上の国内法人組織の経営者およびセキュリティやリスクマネジメントの部長以上を対象に行い、300件の回答を得た。
まず過去3年間に経験したサイバー攻撃において被害コストが最も大きいものは、BECが18.3%で最も多く、以下はランサムウェア(13.0%)、不正アクセス(12.7%)、サービス妨害(4.3%)、スパムメール送信の踏み台(4.3%)などだった。なお、攻撃を受けたが実被害に至らなかったとの回答は35.7%だった。
また、過去3年間でのサイバー攻撃による累計被害額は平均約1億7100万円で、2023年調査の1億25000万円から約4600万円増加した。さらに、一度でもランサムウェア攻撃による被害が発生した組織では2億2000万円に上り、2023年調査の1億7600万円から4400万円増加している。
過去3年間のサイバー攻撃による累計被害額、2024年度回答=300、2023年度回答=305(出典:トレンドマイクロ)
過去3年間のランサムウェアによる累計被害額、2024年度回答=120、2023年度 回答=108(出典:トレンドマイクロ)
サイバー攻撃被害による事業停止期間(復旧までの期間)は平均6.1日で、2023年調査の4.8日から1.3日増えた。一方で、ランサムウェア被害では10.2日となり、2023年調査の10.5日からわずかに短くなっていた。
サイバー攻撃の被害による業務停止期間、2024年度回答=300、2023年度回答=305(出典:トレンドマイクロ)
ランサムウェアによる業務停止期間、2024年度回答=35、 2023年度回答=40(出典:トレンドマイクロ)
インデント後に強化の必要性を感じた機能について米国立標準技術研究所(NIST)の「NIST サイバーセキュリティフレームワーク 2.0」の項目に従った回答では、多い順に防御(42.0%)、検知(41.3%)、対応(40.7%)、識別(39.7%)、統治(37.0%)、復旧(33.7%)となった。
なぜ強化が不足していたのかの理由では、「対策事項として重要視していたが、阻害要因があった」(33.3%)や「対策事項として重要視していたが、他機能を優先していた」(32.7%)、「対策事項として認識していたが、重要視していなかった」(22.3%)、「強化が不足していたという理由はない」(12.0%)などが挙がった。
