特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は10月24日、「サイバー攻撃被害組織アンケート調査(速報版)」を発表した。
JNSAのインシデント被害調査ワーキンググループでは、国内のサイバー攻撃の被害組織で実際に生じたコストを調査するために、2017年1月から2022年6月までの5年半に報道のあった国内で発生したサイバー攻撃情報を収集し、被害組織の情報を調査し約1,300組織をリストアップし、アンケート調査を行った。
同調査によると、リスト化した国内被害組織のサイバー攻撃の種別構成ではランサムウェア感染が13%、Emotet感染が28%、ウェブサイトからの情報漏えいが33%と約7割を占めているが、これら3つの事象が多いということではなく、取引先・顧客への影響の大きさ等から公表・報道されることが多いと推測している。
ランサムウェア感染組織へのアンケート結果によると、平均被害金額は2,386万円で、データを復旧できた組織は50%で、全てバックアップデータからの復旧であった。アンケートに回答したランサムウェア被害組織すべてが「身代金は支払っていない」としている。
Emotet感染組織へのアンケート結果によると、平均被害金額は1,030万円で、2,000万円以上と回答した組織がある一方で、数十万円以下や対応工数のみなど被害金額が極端に低い組織があり、被害金額のばらつきが大きい結果となった。
ウェブサイトからの情報漏えい被害組織へのアンケート結果によると、クレジットカード情報および個人情報の漏えいがあった場合の平均被害金額は3,843万円、個人情報のみが漏えいした場合の平均被害金額は2,955万円であった。カード情報が漏えいした場合の発覚の経緯としては、決済代行会社からの指摘が36.4%、カード会社からの指摘が18.2%と半数以上を占めた。アンケート回答の中には、カード会社から即時公表の見送りを求められたという回答もあったとのこと。
インシデント被害調査ワーキンググループでは、2023年内に「インシデント損害額調査レポート 第2版」を公表予定。
