サイバー攻撃、1カ月以内に「受けた」企業は約3割

＜調査結果（要旨）＞

1. 企業の28.4％で、1カ月以内にサイバー攻撃を受けたと回答
2. 企業規模により、1カ月以内のサイバー攻撃の有無に濃淡あり

企業の28.4％で、1カ月以内にサイバー攻撃を受けたと回答

サイバー攻撃の有無

直近1年以内でサイバー攻撃を受けたこと（可能性がある場合も含む）があるのか尋ねたところ28.4％の企業で「1カ月以内に受けた」と回答しました。企業からも「不正メール受信が特にロシアのウクライナ侵攻後に多くなった。間違って開いてしまった者がいて、社内の全パソコンのアップデート処理を連日行った」（樹脂加工機械等製造、兵庫県）とあるように、ウクライナ情勢の緊迫化以降、サイバー攻撃が発生していることがうかがえています。

以下、「1年から3カ月以内に受けた」企業[1]は7.7％、「過去に受けたが、1年以内に受けていない」企業は10.0％でした。また『1年以内に受けた』企業は36.1％となりました。

他方、「全く受けたことがない」（41.6％）企業は4割超となっています。

とりわけ、サイバー攻撃を「1カ月以内に受けた」企業からは、

• 「セキュリティソフトを導入しているが、自社を名乗るなりすましメールが10数件客先へ行ってしまった。そのためお客さまよりお叱りを受けた」（左官工事、千葉県）
• 「不正メール受信によるウイルス感染し顧客情報が流出。顧客あてに不審メールが届いた」（時計・同部分品製造、富山）
• 「大手ECサイトや銀行、運送会社などを装った誘導メールや取引先を装ったスパムが届く」（浄化槽清掃保守点検、大阪府）

などといった声があげられました。直近では、ランサムウェアなど不審なメール受信による被害が生じているだけでなく、大手ECサイトや銀行、クレジット会社などを語った不正サイトへの誘導などが発生しています。

また、直近ではないが、「メールサーバーへの攻撃を受けた。サーバーはレンタルだったため契約先の管理者が対応したが、その間は自社のメールは使用できなかった」（他計量測定器等製造、神奈川県）や「5年前にメールなどの書類を不正に書き換えられて、海外バイヤーが第三国に品代を送金してしまった」（生鮮魚介卸売、千葉県）などの実被害について声が聞かれました。

[1] 「1年から3カ月以内に受けた」企業は、「3カ月以内に受けた」「半年以内に受けた」「1年以内に受けた」の合計


企業規模により、1カ月以内のサイバー攻撃の有無に濃淡あり

カ月以内にサイバー攻撃を受けた割合 ～ 規模別 ～

規模別にみると、サイバー攻撃を「1カ月以内に受けた」企業は、「大企業」で33.7％、「中小企業」で27.7％、うち「小規模企業」では26.4％となりました。企業規模によりサイバー攻撃の有無に濃淡がみられています。ただし、「取引先がEmotetの攻撃を受けそこから自社にも不審メールが送られて来た。従来であれば狙われるのは大企業だろうと考えていたが、セキュリティが強固な大企業よりも中小企業が狙われ易いと実感した」（織物卸売、福井県）といった声にもあるように、中小企業を経由して大企業の情報を窃取する事案も多く、企業規模が小さくても狙われる危険性は大いに存在すると言えます。




本アンケートの結果、約3割の企業が1カ月以内にサイバー攻撃を受けていました。特に、ウクライナ情勢が緊迫化して以降に不審なメールが増加したとみている企業も多く、強固なセキュリティ対策が求められています。

2022年4月より警察庁に「サイバー警察局」が設置されるなど、政府はサイバー犯罪に対する対策強化を進めています。一方で、企業側の対策としては不審なメールを開かないなどの社員教育の徹底やセキュリティソフトの導入が主たる意見としてあがっていました。加えて「サイバー保険に加入している」（経営コンサルタント、東京都）というように、不測の事態に対するもしもの保障を用意する企業も多くみられました。過去の調査[２]においても、事業継続が困難になると想定しているリスクとして、企業の32.9％がサイバー攻撃などの情報セキュリティ上のリスクをあげていました。身近に迫りくるサイバー攻撃の脅威に対して、企業は事前の防御だけでなく事後の回復を見据えた備えも必要と言えそうです。

[２] 帝国データバンク「事業継続計画（BCP）に対する企業の意識調査（2021年）」（2021年6月14日発表）