サイバーセキュリティクラウドは2月21日、サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表した。攻撃発覚から公表までの期間については多少短期化しているものの、攻撃発生から攻撃発覚までは1年近く気付いていない状況にあることが明らかになった。
-
攻撃発覚から公表までの期間については多少短期化するも、攻撃発生から攻撃発覚までは1年近く気付かれないままに
同レポートは、2022年1月1日〜2023年11月30日に公表された法人・団体における不正アクセスに関する個人情報流出事案(個人情報漏洩数1000件以上)に基づくもの。
攻撃発生から攻撃発覚までの日数が長期化
調査では、法人や団体がサイバー攻撃を受けた攻撃の発生から、攻撃に気づいた攻撃発覚までに平均397日を要していることがわかった。これは、同社が2020年9月〜2021年8月を対象期間に実施した過去調査の「攻撃発生から攻撃発覚までの平均日数」と比較すると、48日長期化している。
一方で、攻撃発覚から被害が公表されるまでには平均77日を要しており、過去調査と比較すると5日短くなっていることから、攻撃発覚から公表まではやや短期化しているものの、公表までには2カ月以上の時間がかかることがわかった。
攻撃発生から攻撃発覚までに要した期間を「1年未満」と「1年以上」に分類した場合、「1年未満」は56.8%、「1年以上」は43.2%と、過去調査より1年以上の回答が11.4%増加している。
発覚まで1年以上かかった要因の1つとして、未知の脆弱性(ゼロデイ)を利用した攻撃により、その脆弱性が公に知られるまで検出されないことがある。さらに、Webアプリケーションの新機能やアップデートが頻繁に行われ、更新および監視に割くリソースやコストなどの問題から、脆弱性が長期間にわたって放置されるケースもあるという。
-
「攻撃発生」から「攻撃発覚」まで1年以上の事案が約4割、過去調査よりも11.4%増加
上場企業の方が非上場企業に比べてサイバー攻撃に早く対応
攻撃発覚から公表までの期間を分類した結果、1カ月以上かかっている事案は57%となっており、この長期化の背景には複数の要因が考えられるという。この要因として、同社は公表までに被害の原因や影響範囲の特定、影響を受ける利害関係者への適切な通知・説明が求められる中、企業側の人材が不十分であることや攻撃発覚から公表までのプロセスに関する明確なレギュレーションが設けられていないことなどを挙げている。
-
「攻撃発覚」から「公表」まで1ヶ月以上かかっている事案は57%
また、攻撃発生から攻撃発覚までに要する期間について上場企業と非上場企業で比較すると、上場企業が平均103日、非上場企業は平均647日という結果となった。攻撃発覚から公表までに要する期間は、上場企業が37日、非上場企業は111日と、上場企業の方が非上場企業に比べてサイバー攻撃に対してより早く対応していることが分かった。
