サプライチェーンの脆弱性を足がかりに攻撃
2023年に都道府県警察から警察庁に報告のあった「企業・団体等におけるランサムウェア被害」の件数は197件に上り、そのうち約5割強を中小企業が占めた。
被害企業の規模
ランサムウェアによる被害(197件)の内訳を企業・団体等の規模別に見ると、大企業は71件、中小企業は102件であり、その規模を問わず、被害が発生した。特に中小企業では被害に気付かないケースや公表報告をしないケースもあり、実際の被害実態は把握できない部分も多い。
被害企業の業種
業種別に見ると、製造業は67件、卸売・小売業は33件、サービス業は27件であり、その業種を問わず、被害が発生した。
狙われるリスク規模によらず
サイバー攻撃を仕掛ける側は、事業規模や業種にかかわらず攻撃してくる。また、サプライチェーンの中で対策が脆弱になっている部分を足がかりに攻撃している。経営者が『うちの規模や業種なら大丈夫』と考えていると、対策の遅れに繋がり狙われるリスクは高まると言える。
調査・復旧費用に1000万円以上要する企業も
警察庁の資料によれば、ランサムウェア被害企業のうち、調査・復旧費用の総額に1000万円以上の費用を要した企業は約4割の企業にのぼった。
平時の対策と有事の備えを
対策ソフト・UTM等のシステム対策やルール・人的セキュリティ対策から段階的な取組みを推奨する。一方自社の対策が十分か判断できないと、ある中小企業の経営者の悩みを聞いた。対策の適正や有効性に自信がない時こそ、保険は有効な手段と考える。そもそも対策が十分か否か正解はない。サイバー保険は、調査費用及び取引先への被害による損害賠償へ対応できる有効な備えとなる。
出展:警視庁 「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
