
ESGリスクトピックス 2025年度 No.2
-
ご登録済みの方は
2025.5.1
中小企業のサイバー攻撃 2024年はランサムウェア被害が増加?警察庁が報告書公開
2025年5月発行の『ESGリスクトピックス<2025年度第2号>』では、上記を含む以下のトピックを取り上げています。
- 2024年は中小企業のランサムウェア被害が増加、警察庁報告書
- NPIが自然の状態を測る指標のドラフト版と解説を発表、2026年の完成を目指す
- SBTNが初の海洋域に関する目標設定手法を公表
- GPIFが初のサステナ投資方針、全資産で推進、社会・環境インパクトも考慮
- 経営層の多様性はリスク対応力向上に重要、経産省ダイバーシティレポートで指摘
- 農山漁村支援が企業の価値創造に、農水省がつながり示すガイダンスを公表
ここでは以上のトピックの中から「2024年は中小企業のランサムウェア被害が増加、警察庁報告書」をご紹介します。
2024年は中小企業のランサムウェア被害が増加、警察庁報告書
警察庁サイバー警察局は2025年3月13日に「令和6(2024)年におけるサイバー空間をめぐる脅威の情勢等について」を公開した。同報告では、サイバー空間の脅威情勢と警察の取り組みについて取りまとめている。
ランサムウェア被害件数を組織規模別に2023年と比較すると、大企業の被害件数が減少する一方、中小企業の被害件数は37%増加した。これは、攻撃実行者の裾野の広がりが、対策が比較的手薄な中小企業の被害増加につながっている可能性があるとしている。
犯罪組織等によるランサムウェア攻撃の態様として、ランサムウェアの開発・運営を行う者が、攻撃の実行者にランサムウェア等を提供し、その見返りとして身代金の一部を受け取るRaaS(Ransomware as a Service)や、EC サイトのぜい弱性を悪用するなどにより窃取した標的企業のネットワークに侵入するための認証情報等を売買する者が存在することで、複数の関与者の役割分担が進んでいる。その結果、攻撃の実行者が技術的な専門知識を有する必要もなくなるなど、攻撃者の裾野の広がりがみられる。
ランサムウェアによる被害に遭った企業・団体等に実施したアンケートの結果によると、2023年に比べてランサムウェアの被害による事業影響は長期化・高額化しており、調査・復旧に1か月以上を要した組織(アンケート回答時に「復旧中」だった組織も含む。)は、44%から49%に増加している。また、1,000 万円以上の費用を要した組織は37%から50%に増加した。さらに、調査・復旧に「1,000 万円以上」かつ「1か月以上」を要した組織のうち、サイバー攻撃を想定したBCP(事業継続計画) を策定済みである組織は11.8%にとどまった。一方、1週間未満で復旧した組織の23.1%が同種のBCPを策定していた。
同アンケート結果によると、感染経路の8割がVPN やリモートデスクトップ用の機器からの侵入であり、ID・パスワード等が非常に安易であったことや、不必要なアカウントがきちんと管理されずに存在していたことなどが原因であった。実例として、海外支社等の機器を管理できていなかったためにそこから侵入され、国内の本社が被害に遭う事例や、試験的に作成したアカウントの安易な認証情報を利用されて侵入された事例が挙げられている。
同報告では侵入の実態調査や復旧対応を行う際のログの必要性を指摘している。ログが保存されていない場合、適切な対策を講じることができず、再び同様の攻撃への脆弱性が放置される可能性がある。日頃からのログの取得・保管やバックアップのオフライン環境での保管といった対策が求められる。
【参考】
警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」:https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
ここまでお読みいただきありがとうございます。
以下のボタンをクリックしていただくとPDFにてほかのトピックスを含めた全文をお読みいただけます(無料の会員登録が必要です)。
会員登録で レポートを全て見る

ご登録済みの方は