目次

  1. サイバー攻撃とは
  2. サイバー攻撃の手口は巧妙化 目的も変化
  3. サイバー攻撃の被害事例
  4. サイバー攻撃を受けた場合にかかる費用
    1. 事故対応損害
    2. 賠償損害
    3. 利益損害
    4. 金銭損害
    5. 行政損害
    6. 無形損害
  5. サイバー攻撃を受けたときの被害モデルケース
    1. 軽微なマルウェア感染では600万円
    2. ECサイトからのクレジットカードの情報漏洩では9490万円
    3. 大規模なマルウェア感染では3億7600万円

 サイバー攻撃とは、情報の改ざんやデータを盗むことなど目的にパソコンやサーバー、Webサイトにネットワーク経由で攻撃を仕掛けるものです。

 具体的には、データを暗号化して身代金を要求する「ランサムウェア」をはじめとするマルウェア(悪意があるソフトウェア)を送りつけるほか、対象のウェブサイトやサーバーに大量のデータを送りつける「DDoS攻撃」といった手口もあります。

 最近では、Webカメラやサーバーなどセキュリティ対策は十分に行われていないIoT機器が攻撃対象になることが増えており、サイバー攻撃全体のおよそ半数を占めています。

 総務省の資料によると、以前のサイバー攻撃は愉快犯・自己顕示などが目的でしたが、最近では金銭目的の組織的な犯行が増えており、手口も巧妙になっています。

ここ20年のサイバー攻撃の変化(総務省の資料から引用)

 2021年に大きな影響を及ぼしたサイバー攻撃の被害事例の一つが、ニップンです。7月7日未明に、同時多発的に全部または一部を暗号化するサイバー攻撃によるシステム障害が起きました。影響は、グループネットワーク内で運用している国内グループ会社11社が利用している販売管理システムと26社が利用している財務会計システムに及びました。

 外部専門家を含む対策チームを立ち上げ、サーバーの停止、ネットワークの遮断を行い、システムの復旧に努めているものの、システムの復旧作業中は財務・会計アプリケーションなど基幹ITアプリケーションの一部が利用できないため、決算発表を延期する事態に陥りました。データをバックアップしていたサーバーまでも被害に遭っていたため、早期復旧が難しい状況です。

 BCPとして、ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていたものの「当社のBCPで想定していた事態を大きく上回る状況となりました」と説明しています。

 総務省のまとめによれば、2020年は次のようなサイバー攻撃の被害がありました。

  • 4月……国内高校の半数が利用するClassi社が不正アクセスを受け、IDや暗号化パスワード等が流出した可能性が判明
  • 5月……NTTコミュニケーションズ従業員のテレワーク環境(仮想デスクトップ)のアカウント及びパスワードが盗まれ、防衛省などの顧客情報が流出した可能性が判明
  • 6月……ホンダがサイバー攻撃を受け、世界の9工場で生産を一時停止
  • 7月……Twitter社でソーシャルエンジニアリングにより社内ツールが不正利用され、詐欺投稿が行われ、データも流出した可能性が判明
  • 8月……国内数十社において、VPN機器の脆弱性を悪用した不正アクセスが行われVPN接続用のパスワードなどが流出した可能性が判明
  • 9月……ドコモ口座が悪用され、第三者が不正に入手した口座番号、暗証番号等を使用した口座振替による不正出金が判明
  • 10月……原子力規制委員会が、不正アクセスを受け、メール等のやりとりを含む外部とのアクセスを遮断
  • 11月……カプコンが、オーダーメイド型ランサムウェアによる標的型攻撃を受け、個人情報・人事情報・開発資料等が流出した可能性が判明

 2021年に入っても、被害が後を絶ちません。

 ギャップインターナショナルが運営する「THE HAIR BAR TOKYOオンラインストア」が不正アクセスを受け、クレジットカード情報が流出したことが判明しています。

 また、アミューズメント商品などを取り扱うフクヤのオンラインショップ「FUKUYA ONLINE」では、システムの一部脆弱性を突いた第三者の不正アクセスによって、決済処理プログラムが改ざんされ、偽物のカード会員情報入力画面が埋め込まれていました。

 こうした大規模な被害がたびたび起きているにもかかわらず、サイバー攻撃でどんな被害が発生するのか、金銭的なインパクトを示した資料は少なく、経営者がセキュリティ対策の導入について二の足を踏むといったケースも少なくありません。

 そこで、日本ネットワークセキュリティ協会は、特に中小企業の経営者に向けて、サイバー攻撃の被害に遭ったときの対応、アウトソーシング先、コストについて報告書「インシデント損害額調査レポート 2021年版」にまとめました。

 以下で、レポートの要旨を整理します。

 事故対応でかかる費用にはいくつかの項目があります。

事故原因・被害範囲調査費用

 サイバー攻撃などが起こった場合、初動対応としてネットワークの遮断、証拠保全などにすぐ着手する必要があります。さらに、事故原因や影響、被害範囲の特定などの調査も考えると、専門家への委託を検討する必要があります。

 日本ネットワークセキュリティ協会では、公式サイトでサイバーインシデントに緊急対応できる企業一覧を公表しています。

 情報処理推進機構(IPA)も、情報セキュリティサービス基準適合サービスリストを公表しており、こうした企業リストが参考になります。

 こうした調査にかかる費用については、パソコンとサーバー数台であれば300万~400万円ですが、被害範囲が拡大すれば数千万円になるおそれもあるといいます。

コンサルティング費用

 状況によって、顧客や取引先など被害の範囲が広範囲に及ぶ場合は、対外的な発信を慎重に検討する必要があります。

 危機管理コンサルティング会社へのコンサルティング費用は、企業とのこれまでの取引によって左右されますが、数十万円程度となる見込みです。

法律事務所への法律相談費用

 個人情報の漏洩が起こった場合、個人情報保護法を踏まえた対応が必要になります。とくに2022年4月の改正後には、被害者通知が義務化されます。

 情報漏えいなど各種対応を依頼する場合には数十万円程度、各国法制度に則した報告などのために大手事務所に依頼する場合は数百万円程度となる見込みです。

広告宣伝費

 顧客に被害が発生している場合、おわび文の送付や、おわび広告の出稿が必要になる場合があります。

 ダイレクトメールの印刷、発送は部数と納品までの日数によって料金が変動しますが、1000通の印刷・発送では、8万円程度になる見込みです。

 新聞広告掲載料は全国紙で240万円前後、地方紙で50万円前後となる見込みです。

コールセンター費用

 顧客の個人情報の漏洩が発覚した場合は、問い合わせに対応する体制が必要になります。自社にコールセンターがない場合は、外部への委託の検討も必要になります。

 初期費用と運用費用をオペレーター1席あたりの価格に引き直すとおおよそ1カ月120万~200万円程度になります。3カ月の対応をするとして、初月はオペレーター3席、それ以降は1席とした場合、600万~1000万円ほどかかる見込みです。

見舞金・見舞品の購入費用

 個人情報が漏洩した顧客に対し、損害賠償金とは別に、見舞品としてプリペイドカードを送る場合があります。

 プリペイドカード購入時には1枚あたり額面+手数料が必要となり、さらに印刷料や送料等を考慮する必要があります。500円の券面額の場合は1枚あたり650円程度となります。

 ただし、たとえば、プリペイドカード500円分を送ったときに否定的に受け取る人もいるので慎重に対応することを報告書は勧めています。

ダークウェブ(闇サイト)の調査費用

 個人情報が盗まれた場合、ダークウェブ(闇サイト)でやりとりされてないか確認が必要になる場合があります。ただし、不用意に、アクセスすると、犯罪に巻き込まれる可能性もあるので専門の調査会社に委託が必要になります。委託費はおおむね次の通りです。

  • スポット検索調査(3カ月):500~1000万円
  • 年間調査:1500~4000万円
  • 認証情報の情報流出調査:1000~5000万円

 技術者を介在させた調査を実施する場合は、数百万~数千万円程度になります。

データ復旧費用

 データ量や復旧を要する機器の範囲、対応規模によって大きく異なるため、問い合わせや見積もり依頼が必要です。

再発防止費用

 再発防止に向けた対策として、セキュリティ商材の導入や、サイバー攻撃の監視体制強化などの組織編成、セキュリティ教育などが考えられます。

 ウイルス対策ソフトやメールフィルタリングソフトなどの費用は、1ライセンスあたり年間数百~数千円程度。組織編成費用はサービスのグレードによりますが、初期費用及び年間費用で130万~900万円。

 セキュリティ教育費用は1ライセンスあたり100~1500円程度、セキュリティ担当者向けは100~7万円ほどと見込まれます。

 サイバー攻撃などで顧客情報が流出した場合、被害に遭った個人や企業、そして不正請求されたクレジットカード会社からの損害賠償請求が考えられます。取引先の機密情報が流出してしまうことも考えられます。

 損害賠償請求訴訟が起こされた場合、請求額だけでなく弁護士費用(着手金や報酬)や訴訟費用も必要になる場合がありますので注意が必要です。

自社で管理する個人情報の漏洩の損害賠償額

 個人情報が漏洩した場合の一人あたりの損害賠償額は、日本ネットワークセキュリティ協会の調査では、2016~2018年の平均で2万8308円でした。

他社から管理を委託されている個人情報の漏洩の損害賠償額

 事故対応にかかった委託元の費用も上乗せされるため、中小企業でも数千万~数億円になる場合があります。事前に契約書などで損害賠償額の上限が設定されているか確認しておきましょう。

クレジットカード情報の漏洩

 クレジットカード情報が流出し、不正利用された場合、クレジットカード会社から不正利用分を請求されることがあります。2020年に三井住友カードが実施した調査では、不正利用の被害額はカード1枚あたり平均約10万円とのことです。

ほかの企業の機密情報

 企業がもつ機密情報が流出した場合、経産省の公式サイトでは、数百億円規模の訴訟が起こされたことが紹介されています。

 サイバー攻撃とうけたときに、製造業の制御システム、販売業のPOSシステム、通販事業のECサイトなどが停止となり、事業中断を余儀なくされる場合があります。損失額は企業規模によって大きく変わるため、平均額を出すのは難しいと結論づけています。

 金銭被害としては、ランサムウェアによる身代金要求、ビジネスメール詐欺による詐欺被害、インターネットバンキングの情報窃取などが考えられます。

 世界各国には、個人情報保護に関する法令があり、国によって罰金、過料、制裁金、課徴金などを定めている場合があります。

 日本では、個人情報保護法にもとづき最大1億円、EUはGDPRにもとづき最大2000万ユーロまたは、全世界年間売上高の4%のうち、いずれか高い額が課される場合があります。カリフォルニア州でも消費者1人あたり最大2500ドルが課される場合があります。

 無形損害としては、ブランドイメージの毀損、株価下落などがあり、過去の例をみると、株価が数十%下落したケースもあるといいます。

 報告書では、サイバー攻撃の被害に遭った場合の3つのモデルケースで費用を試算しています。

 従業員がメールの添付ファイルを開いてしまい、従業員のパソコン3台とサーバー1台がマルウェアに感染しまったものの、個人情報の漏洩には至らなかったという想定では、被害範囲などの調査と、メールフィルタリングサービスの導入で合計600万円と試算しました。

 ECサイトが改ざんされ、偽の入力フォームから利用者1万人分の氏名、住所、クレジットカードの情報が盗まれ、クレジットカードの情報漏洩により2500万円分の不正利用があり、1万人に対し、500円のプリペイドカードを送ったという想定では、9490万円の費用を試算しました。内訳は次の通りです。

  • 事故対応損害:2890万円(コールセンター設置、弁護士費用、見舞品費用など)
  • 賠償損害:3600万円
  • 利益損害:3000万円(ECサイトの再開まで半年かかったと想定)

 海外子会社を通じて本社サーバーに侵入。ネットワーク内でランサムウェアに感染させて情報を窃取。データの身代金を要求されたと想定では、3億7600万円の費用を試算しました。内訳は次の通りです。

  • 事故対応損害:2億円(被害範囲の調査、端末の入れ替え、再発防止等)
  • 利益損害:1億7600万円(生産ラインを3日停止)