2024年10月3日、Claroty(クラロティ)は「The Global State of CPS Security 2024: Business Impact of Disruptions(CPSセキュリティーのグローバル状況2024:中断によるビジネスへの影響)」を発表した。
同レポートは、過去12ヵ月間にサイバー攻撃が企業に与えたビジネスへの影響について、1,100名の情報セキュリティ、OTエンジニアリング、臨床・生物医学エンジニアリング、施設管理・プラント運用の専門家を対象にしたグローバル独立調査に基づいているという。
詳細な調査結果は以下のとおり。
- 財務損失:CPSに影響を与えるサイバー攻撃で、27%の組織が100万米ドル以上の財務的損失を報告。これらの損失には、複数の要因が寄与しており、最も一般的なものは売上の損失(39%)、復旧コスト(35%)、および従業員の残業(33%)だった
- 身代金の支払い:回答者の53%が、暗号化されたシステムやファイルへのアクセスを回復するために、50万米ドル以上の身代金を支払ったと報告。これは特に医療分野で顕著で、78%が50万米ドル以上の身代金を支払ったと報告している
- 工場など運用業務への影響:回答者の33%が、製品やサービスの生産能力に影響を与える業務停止を経験したと報告。さらに、49%は復旧に1週間以上かかり、29%は復旧に1ヵ月以上かかった。特に製造工場などのCPS環境では、重要なシステムの可用性や稼働時間が重視されており、セキュリティや機能の更新が遅れるという点で注視すべきだとしている
- 脆弱性:回答者の82%が、過去12ヵ月間に少なくとも1件のサイバー攻撃が、CPS環境へのサードパーティのアクセスから発生したと述べており、45%は5件以上の攻撃がサードパーティによるものだったと報告している。なお、63%がCPS環境へのサードパーティの接続について「部分的にしか理解していない」「まったく理解していない」と述べている
- リスク軽減への自信と期待:56%が12ヵ月前と比べて、現在の自社のCPSがサイバー攻撃に耐える能力に自信をもっており、72%は今後12ヵ月間でCPSセキュリティにおける具体的な改善が期待できると考えている
また、調査結果を日本に絞ると50名の調査対象がいたという。その中で、過去1年間にサイバー攻撃(データや業務を侵害する攻撃)の被害を経験した組織は100%となった。そのうち54%がCPSのみと回答し、46%がOT、IoT、IoMT、BMSを含むITとCPSの両方を回答した。サイバー攻撃を受けた後、業務または製造に1時間以上影響が発生した組織は60%で、1日以内に復旧できたのは30%だった。
500万米ドル以上見込みの損失額が発生したのは10%、100万米ドル以上500万米ドル未満の身代金を支払った回答者は31.25%となっている。また、1年前と比較して現在攻撃に耐えられる能力について「自信がない」「あまり自信がない」と回答したのは約32%だった。
【関連記事】
・8月に最も活発だったランサムウェアグループはRansomHub 攻撃の15%に関与──チェック・ポイント
・ランサムウェア被害業界はエンジニアリング/製造業が20.59%で1位に──ウィズセキュア調査
・イラク政府を標的としたサイバー攻撃を発見、新たな亜種マルウェアも──チェック・ポイント・リサーチ
