中小企業4社に1社でインシデント被害 - 約7割で「取引先に影響」
2023年度の1年間に、国内中小企業の4社に1社でインシデント被害が発生していたことがわかった。わずか3年間に40回のインシデントが発生した企業もあった。1割の企業が不正アクセスを受けており、半数近くが脆弱性を突かれたと回答しているが、約2割は取引先やグループ会社経由の侵入だったという。
情報処理推進機構(IPA)が、2024年度の「中小企業における情報セキュリティ対策の実態調査報告書」について速報を取りまとめたもの。2024年10月25日から11月6日にかけて、中小企業の経営層を対象にウェブでアンケートを実施。自社や取引先を含むセキュリティ対策の状況をはじめ、被害や課題について調査した。4191社が回答している。

2023年度の1年間に975社がインシデント被害を経験。データ破壊や情報漏洩が目立つ(グラフ:IPA)
2023年度にインシデントによる被害が発生した企業は975社。具体的な被害を見ると「データの破壊」が35.7%、「個人情報の漏洩」が35.1%と目立つ。過去3期以内に発生したインシデントによる被害額の平均額は73万円。9.4%で100万円以上の被害額が発生したと回答しており、1億円の被害が発生した企業もある。
回答企業の1.7%では過去3期以内に10回以上のインシデント被害を経験。最大で40回にのぼったという。復旧に要した期間は平均5.8日だが、2.1%では50日以上としており、360日を要した企業もあった。
419社が「不正アクセス被害を受けた」と回答しており、攻撃の手口としては、「脆弱性を突かれたことによる不正アクセス」が48.0%で最多。「ID、パスワードをだまし取られた」が36.8%、「取引先やグループ会社を経由して侵入」が19.8%と続いている。
不正アクセスによる影響を見ると、「自社ウェブサイトのサービス停止、または機能の低下」が22.9%、「業務サーバのサービス停止、または機能の低下」が20.3%、「自社サイトが改ざんされた」が16.5%だった。
(Security NEXT - 2025/02/21 )
ツイート
関連リンク
PR
関連記事
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
NVIDIAのAI開発フレームワーク「NeMo」に3件の脆弱性