【独自調査】過信が命取り！ランサムウェアなどの攻撃を受けた企業の7割は、自社のセキュリティー対策が十分だと思い込んでいた

　規模の大小、企業・団体・個人を問わず無差別に仕掛けられるサイバー攻撃。もはや他人事では済まされない――と言われても、なかなか実感できない人も多いのではないだろうか。そこでダイヤモンド・オンラインでは「サイバーセキュリティー対策の実態と課題」について緊急調査を実施し、358人から回答を得た。想像以上に身近に迫っているサイバー攻撃の実態を明らかにする。（構成・執筆/前田 剛）

●　約3割が「サイバー攻撃を受けたことがある」

　「自社がサイバー攻撃を受けたことがある」は約3割（図1）。

　「自社のセキュリティー対策は十分ではないと思う」が約3割（図2）。

　図1：約3割がサイバー攻撃を受けている

　図2：約3割がセキュリティー対策に不安

　上記は、日本企業へのサイバー攻撃が激しさを増していた今年6月下旬～7月上旬、ダイヤモンド・オンラインが実施した「サイバーセキュリティー対策の実態と課題」についての緊急調査の結果だ。これら二つの数値は一見、整合的に思える。セキュリティー対策が不十分だと思っていた3割が、サイバー攻撃を受けた3割と合致するように見えるからだ。

　しかし、それは事実と異なる。ランサムウェアなどのサイバー攻撃を受けたことがある企業の実に約7割が、自社のセキュリティー対策は十分・まあまあ十分だと過信していたのだ（図3）。

　図3：約7割がセキュリティー対策を過信して被害に

　被害に遭った約3割の企業は、一体どのような経路でどんな攻撃をされたのか、どんな被害を被ったのか。次ページ以降、恐るべきサイバー攻撃の実態を独自調査で明らかにしつつ、今、いかにわれわれがサイバー攻撃に対して無防備な状態なのかを明らかにする。

●　VPN経由よりも圧倒的に多いシンプルな攻撃経路

　サイバー攻撃の種類で最も多かったのはランサムウェアだ（図4）。連載第1回で触れた徳島県つるぎ町立半田病院や、直近で多大な被害を被ったKADOKAWAもランサムウェアによる攻撃を受けている。

　図4：ランサムウェアが最大の脅威

　攻撃の経路は「メールや添付ファイル経由」が37％、「ウェブサイト経由」が14％、「VPN機器経由」が10％となっている（図5）。リモートワークの普及で、VPNを狙った攻撃が増加しているといわれているが、調査結果からは、メールや添付ファイルを経由したシンプルな攻撃が依然として多いことが分かる。

　図5：VPNより多いメール・添付ファイル経由の攻撃

　サイバー攻撃による被害は決して小さくない。「現状を回復するために相応の費用がかかった」「一定期間、業務が停止した」企業が45社に上った（図6）。

　業務停止による機会損失や社会的信用の低下といった目に見えない影響に加え、サイバー攻撃の被害の範囲や影響を調査するための費用、状況次第で情報漏えいに対する損害賠償が発生することもあり、攻撃を受けた企業の規模によっては、事業存続が危うくなることも考えられる。

　図6：業務が停止、原状回復に費用もかかる

　高度化・巧妙化・無差別化するサイバー攻撃に対し、企業はどんな備えをしているのだろうか。

　最も多かったのは「ウイルス対策ソフトのインストール」で、全体の9割超が実施していた。次いで、「パソコンのOSやソフトウエアの更新」「会社でセキュリティーポリシーを定め、従業員に周知徹底させている」「パスワードの適切な管理」といった基本的な対策も、全体の7～8割の企業で実施されていた。

　一方、「社用パソコンの外部持ち出しを禁止している」といった厳格な対策を講じている企業は25％、「多要素認証や2段階認証を導入している」といった複雑な対策を取っている企業も38％にとどまっている。

　図7：手間のかかる対策は敬遠されている

　これだけさまざまな対策を講じていてもなお、図1のように3割の企業がサイバー攻撃を受け被害に遭っている。一体何が足りないのか。図2で「セキュリティー対策があまり十分ではない・全く十分ではないと思う」と回答した28％の企業がどんな問題意識を持っていたのか見てみよう。

　図8：「ヒト」と「カネ」が足りない

　十分な対策ができない最大の理由は「ヒト」だ。「専門人材がいない」「人手が足りない」を理由に挙げた企業がそれぞれ41％に達した。次いで多いのは「予算が足りない」で40％。「ヒト」と「カネ」がセキュリティー対策の足かせとなっており、これらが足りない企業は十分な対策が取れず、大きなリスクにさらされることになる。

　図5で示したように、サイバー攻撃は主にメールや添付ファイル経由で行われている。次ページでは、フィッシングメールやウイルスメールの驚くべき実態を明らかにする。