サイバーセキュリティクラウドは2月21日、2022年1月1日から2023年11月30日までに公表された不正アクセスに関する個人情報流出事案(個人情報漏洩数1000件以上)に基づき、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。その概要は以下のとおり。
法人や団体がサイバー攻撃を受けた攻撃の「攻撃発生」から、攻撃に気づいた「攻撃発覚」までに平均397日を要していた。これは、同社が過去(2020年9月から2021年8月までを対象期間)に実施した調査(過去調査)の「攻撃発生」から「攻撃発覚」までの平均日数と比較すると、48日長期化している。
また、「攻撃発覚」から被害が公表された「公表」までには平均77日を要しており、過去調査と比較すると5日短くなっている。「攻撃発生」から「攻撃発覚」までは長期化する結果となり、1年以上もの間サイバー攻撃の被害に気付いていない状況にあった。また「攻撃発覚」から「公表」するまでにかかった時間はやや短期化したものの、「公表」までには2か月以上の時間がかかっていた。
「攻撃発生」から「攻撃発覚」までに要した期間を「1年未満」と「1年以上」に分類した場合、「1年未満」は56.8%。一方、「1年以上」は43.2%と、過去調査より11.4%増加している。
「攻撃発覚」までに1年以上かかった要因の一つとして、未知の脆弱性(Zero-Day)を利用した攻撃により、その脆弱性が公に知られるまで検出されないことが挙げられる。さらに、Webアプリケーションは絶えず変化しており、新機能やアップデートが頻繁に行われるため、Webアプリケーションの更新や監視に割くリソースやコストなどの問題から、脆弱性が長期間にわたって放置されるケースもある。
「攻撃発覚」から「公表」までの期間を分類した結果、1か月以上かかっている事案は57%。この長期化の背景には複数の要因が考えられる。公表までに被害の原因や影響範囲の特定、影響を受ける利害関係者への適切な通知・説明が求められる中、企業側の人材が不十分だったり、攻撃発覚から公表までのプロセスに関する明確なレギュレーションが設けられていなかったりすることなど、さまざまな要因により公表までの時間が長期化していると考えられる。
「攻撃発生」から「攻撃発覚」までに要する期間について上場企業と非上場企業で比較したところ、上場企業が平均103日だったのに対し、非上場企業は平均647日。また「攻撃発覚」から「公表」までに要する期間は上場企業が37日だったのに対し、非上場企業は111日だった。
上場企業の方が非上場企業に比べて、サイバー攻撃に対してより早く対応していることが分かる。コンプライアンスの遵守やステークホルダーへの影響を重視し、迅速な対応を上場企業が求められていることは、この差の一つの要因だと考えられる。
関連リンク