マルウェア感染や個人情報漏洩…サイバー攻撃による損害費用はいくら?
マルウェア感染や個人情報漏洩などのサイバー攻撃の被害に遭うと、損害費用はいくらかかるのでしょうか?NPO法人の日本ネットワークセキュリティ協会の専門家が事故対応や賠償、利益損失、罰金など想定される費用について報告書にまとめました。中小企業でも数千万円単位、被害規模によっては億単位の費用がかかるおそれがあるといいます。想定されるケースで算出してみました。
マルウェア感染や個人情報漏洩などのサイバー攻撃の被害に遭うと、損害費用はいくらかかるのでしょうか?NPO法人の日本ネットワークセキュリティ協会の専門家が事故対応や賠償、利益損失、罰金など想定される費用について報告書にまとめました。中小企業でも数千万円単位、被害規模によっては億単位の費用がかかるおそれがあるといいます。想定されるケースで算出してみました。
目次
サイバー攻撃とは、情報の改ざんやデータを盗むことなど目的にパソコンやサーバー、Webサイトにネットワーク経由で攻撃を仕掛けるものです。
具体的には、データを暗号化して身代金を要求する「ランサムウェア」をはじめとするマルウェア(悪意があるソフトウェア)を送りつけるほか、対象のウェブサイトやサーバーに大量のデータを送りつける「DDoS攻撃」といった手口もあります。
最近では、Webカメラやサーバーなどセキュリティ対策は十分に行われていないIoT機器が攻撃対象になることが増えており、サイバー攻撃全体のおよそ半数を占めています。
総務省の資料によると、以前のサイバー攻撃は愉快犯・自己顕示などが目的でしたが、最近では金銭目的の組織的な犯行が増えており、手口も巧妙になっています。
2021年に大きな影響を及ぼしたサイバー攻撃の被害事例の一つが、ニップンです。7月7日未明に、同時多発的に全部または一部を暗号化するサイバー攻撃によるシステム障害が起きました。影響は、グループネットワーク内で運用している国内グループ会社11社が利用している販売管理システムと26社が利用している財務会計システムに及びました。
外部専門家を含む対策チームを立ち上げ、サーバーの停止、ネットワークの遮断を行い、システムの復旧に努めているものの、システムの復旧作業中は財務・会計アプリケーションなど基幹ITアプリケーションの一部が利用できないため、決算発表を延期する事態に陥りました。データをバックアップしていたサーバーまでも被害に遭っていたため、早期復旧が難しい状況です。
↓ここから続き
BCPとして、ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていたものの「当社のBCPで想定していた事態を大きく上回る状況となりました」と説明しています。
総務省のまとめによれば、2020年は次のようなサイバー攻撃の被害がありました。
2021年に入っても、被害が後を絶ちません。
ギャップインターナショナルが運営する「THE HAIR BAR TOKYOオンラインストア」が不正アクセスを受け、クレジットカード情報が流出したことが判明しています。
また、アミューズメント商品などを取り扱うフクヤのオンラインショップ「FUKUYA ONLINE」では、システムの一部脆弱性を突いた第三者の不正アクセスによって、決済処理プログラムが改ざんされ、偽物のカード会員情報入力画面が埋め込まれていました。
こうした大規模な被害がたびたび起きているにもかかわらず、サイバー攻撃でどんな被害が発生するのか、金銭的なインパクトを示した資料は少なく、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。
そこで、日本ネットワークセキュリティ協会は、特に中小企業の経営者に向けて、サイバー攻撃の被害に遭ったときの対応、アウトソーシング先、コストについて報告書「インシデント損害額調査レポート 2021年版」にまとめました。
以下で、レポートの要旨を整理します。
事故対応でかかる費用にはいくつかの項目があります。
サイバー攻撃などが起こった場合、初動対応としてネットワークの遮断、証拠保全などにすぐ着手する必要があります。さらに、事故原因や影響、被害範囲の特定などの調査も考えると、専門家への委託を検討する必要があります。
日本ネットワークセキュリティ協会では、公式サイトでサイバーインシデントに緊急対応できる企業一覧を公表しています。
情報処理推進機構(IPA)も、情報セキュリティサービス基準適合サービスリストを公表しており、こうした企業リストが参考になります。
こうした調査にかかる費用については、パソコンとサーバー数台であれば300万~400万円ですが、被害範囲が拡大すれば数千万円になるおそれもあるといいます。
状況によって、顧客や取引先など被害の範囲が広範囲に及ぶ場合は、対外的な発信を慎重に検討する必要があります。
危機管理コンサルティング会社へのコンサルティング費用は、企業とのこれまでの取引によって左右されますが、数十万円程度となる見込みです。
個人情報の漏洩が起こった場合、個人情報保護法を踏まえた対応が必要になります。とくに2022年4月の改正後には、被害者通知が義務化されます。
情報漏えいなど各種対応を依頼する場合には数十万円程度、各国法制度に則した報告などのために大手事務所に依頼する場合は数百万円程度となる見込みです。
顧客に被害が発生している場合、おわび文の送付や、おわび広告の出稿が必要になる場合があります。
ダイレクトメールの印刷、発送は部数と納品までの日数によって料金が変動しますが、1000通の印刷・発送では、8万円程度になる見込みです。
新聞広告掲載料は全国紙で240万円前後、地方紙で50万円前後となる見込みです。
顧客の個人情報の漏洩が発覚した場合は、問い合わせに対応する体制が必要になります。自社にコールセンターがない場合は、外部への委託の検討も必要になります。
初期費用と運用費用をオペレーター1席あたりの価格に引き直すとおおよそ1カ月120万~200万円程度になります。3カ月の対応をするとして、初月はオペレーター3席、それ以降は1席とした場合、600万~1000万円ほどかかる見込みです。
個人情報が漏洩した顧客に対し、損害賠償金とは別に、見舞品としてプリペイドカードを送る場合があります。
プリペイドカード購入時には1枚あたり額面+手数料が必要となり、さらに印刷料や送料等を考慮する必要があります。500円の券面額の場合は1枚あたり650円程度となります。
ただし、たとえば、プリペイドカード500円分を送ったときに否定的に受け取る人もいるので慎重に対応することを報告書は勧めています。
個人情報が盗まれた場合、ダークウェブ(闇サイト)でやりとりされてないか確認が必要になる場合があります。ただし、不用意に、アクセスすると、犯罪に巻き込まれる可能性もあるので専門の調査会社に委託が必要になります。委託費はおおむね次の通りです。
技術者を介在させた調査を実施する場合は、数百万~数千万円程度になります。
データ量や復旧を要する機器の範囲、対応規模によって大きく異なるため、問い合わせや見積もり依頼が必要です。
再発防止に向けた対策として、セキュリティ商材の導入や、サイバー攻撃の監視体制強化などの組織編成、セキュリティ教育などが考えられます。
ウイルス対策ソフトやメールフィルタリングソフトなどの費用は、1ライセンスあたり年間数百~数千円程度。組織編成費用はサービスのグレードによりますが、初期費用及び年間費用で130万~900万円。
セキュリティ教育費用は1ライセンスあたり100~1500円程度、セキュリティ担当者向けは100~7万円ほどと見込まれます。
サイバー攻撃などで顧客情報が流出した場合、被害に遭った個人や企業、そして不正請求されたクレジットカード会社からの損害賠償請求が考えられます。取引先の機密情報が流出してしまうことも考えられます。
損害賠償請求訴訟が起こされた場合、請求額だけでなく弁護士費用(着手金や報酬)や訴訟費用も必要になる場合がありますので注意が必要です。
個人情報が漏洩した場合の一人あたりの損害賠償額は、日本ネットワークセキュリティ協会の調査では、2016~2018年の平均で2万8308円でした。
事故対応にかかった委託元の費用も上乗せされるため、中小企業でも数千万~数億円になる場合があります。事前に契約書などで損害賠償額の上限が設定されているか確認しておきましょう。
クレジットカード情報が流出し、不正利用された場合、クレジットカード会社から不正利用分を請求されることがあります。2020年に三井住友カードが実施した調査では、不正利用の被害額はカード1枚あたり平均約10万円とのことです。
企業がもつ機密情報が流出した場合、経産省の公式サイトでは、数百億円規模の訴訟が起こされたことが紹介されています。
サイバー攻撃とうけたときに、製造業の制御システム、販売業のPOSシステム、通販事業のECサイトなどが停止となり、事業中断を余儀なくされる場合があります。損失額は企業規模によって大きく変わるため、平均額を出すのは難しいと結論づけています。
金銭被害としては、ランサムウェアによる身代金要求、ビジネスメール詐欺による詐欺被害、インターネットバンキングの情報窃取などが考えられます。
世界各国には、個人情報保護に関する法令があり、国によって罰金、過料、制裁金、課徴金などを定めている場合があります。
日本では、個人情報保護法にもとづき最大1億円、EUはGDPRにもとづき最大2000万ユーロまたは、全世界年間売上高の4%のうち、いずれか高い額が課される場合があります。カリフォルニア州でも消費者1人あたり最大2500ドルが課される場合があります。
無形損害としては、ブランドイメージの毀損、株価下落などがあり、過去の例をみると、株価が数十%下落したケースもあるといいます。
報告書では、サイバー攻撃の被害に遭った場合の3つのモデルケースで費用を試算しています。
従業員がメールの添付ファイルを開いてしまい、従業員のパソコン3台とサーバー1台がマルウェアに感染しまったものの、個人情報の漏洩には至らなかったという想定では、被害範囲などの調査と、メールフィルタリングサービスの導入で合計600万円と試算しました。
ECサイトが改ざんされ、偽の入力フォームから利用者1万人分の氏名、住所、クレジットカードの情報が盗まれ、クレジットカードの情報漏洩により2500万円分の不正利用があり、1万人に対し、500円のプリペイドカードを送ったという想定では、9490万円の費用を試算しました。内訳は次の通りです。
海外子会社を通じて本社サーバーに侵入。ネットワーク内でランサムウェアに感染させて情報を窃取。データの身代金を要求されたと想定では、3億7600万円の費用を試算しました。内訳は次の通りです。
(続きは会員登録で読めます)
ツギノジダイに会員登録をすると、記事全文をお読みいただけます。
おすすめ記事をまとめたメールマガジンも受信できます。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。