メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

サイバー攻撃のトレンドに変化 かつてないほど標的にされている「あの業界」とはCFO Dive

ある調査によると、「ある業界」へのサイバー攻撃が激化した結果、かつてないほどの損失額が発生しているという。どの業種、どの業界も無縁とは言えない今回のトレンドを解説する。

» 2025年04月08日 07時00分 公開
[Alexei AlexisCFO Dive]
CFO Dive

 サイバーリスク管理企業のResilienceが最近公開した報告書の中で「ある業界を対象としたサイバー攻撃によって、かつてないほどの経済的な損害が発生している」と述べた(注1)。

かつてないほど狙われている「ある業界」

 同社の分析によると、2024年にResilienceに提出されたサイバー保険に関する請求のおよそ4分の1(23%)が、この業界に属する企業への侵害に関連する(データの損失や顧客情報の流出、ダウンタイム発生による機械損失などの)実質的損失に基づくものだった。これは同社にとって初めてのことだ。「従来はこのセクターへの攻撃に関連するリスクのカテゴリで実質的損失を伴う請求はなかった」とResilienceは述べる。

 最近、攻撃の標的とされているある業界とはITベンダーだ。ITベンダーが攻撃されて、取引先やシステムの相互接続先などの第三者(サードパーティ)にまで被害が及ぶ例が広まっている。

 Resilienceのアン・アーヴァイン氏(チーフデータアナリティクスオフィサー)は、ITベンダーに関連した事例で請求額が膨れ上がる理由について電子メールで次のように述べた。「2024年にはITベンダーに関連するインシデントが多く発生し、顧客のビジネスを一時的に停止させた。その結果、より大規模な経済的影響が発生した」

 調査結果に関するプレスリリースの中で、Resilienceは「攻撃者は、ある企業における単一障害点を悪用して『下流で連鎖的な混沌(こんとん)を引き起こす』ことに注力している」と述べた。

 IBMの調査によると、2024年に世界で発生したデータ侵害に関連する平均コストは約490万ドルだった(注2)。中には、平均をはるかに上回るコストを発生させたインシデントもあった。

 ヘルスケアサービスを提供するUnitedHealthは、同社のグループ企業であるChange Healthcareに対する大規模なサイバー攻撃への対応に、2024年の1年間で合計31億ドルを費やしたと2025年1月に公表した(注3)。Change Healthcareは年間で数十億件の医療請求を処理している。このランサムウェア攻撃は、医療業界に数週間にわたる混乱を引き起こした。

 米国病院協会でサイバーセキュリティおよびリスクの業務を担当するジョン・リッジ氏(ナショナルアドバイザー)は、2024年に投稿したブログ記事で「米国の医療業界史上、最も重大で影響の大きいサイバー攻撃だった」と述べた。

 全米の自動車ディーラーにサービスを提供するソフトウェア企業のCDK Globalも2024年に大規模なランサムウェア攻撃の標的にされた。コンサルティング企業であるAnderson Economic Groupの推計では、同インシデントによる自動車ディーラーの損害は合計10億ドル以上に及ぶ(注4)。

 Change HealthcareとCDK Grobalに対する2024年の侵害について、Resilienceは報告書で「高度に相互接続された企業に対する攻撃がいかに業界全体に波及し得るかを示している」と述べた。サードパーティと関わることで生じるこうしたリスクを「サードパーティリスク」と呼ぶ。

 Resilienceの分析によると、サードパーティリスクはサイバー保険の主要な請求原因に躍り出た。2024年に同社の顧客企業が提出した請求の31%をサードパーティに関連する原因が占めたという。2023年における同様の請求は37%で、2024年比で若干高いが、それらの請求に実質的損失は含まれていなかった。

ランサムウェアは減少に向かっている?

 また、重要な損害賠償請求の原因として、ITベンダーを標的としたランサムウェアが新たに浮上しており、関連する請求の18%を占めていることが分かった。

 Resilienceによると、2024年においてもランサムウェアは引き続き「損失の最大の原因」であり、損失を伴う請求全体の62%を占めていた。しかし、広い範囲の市場に目を向けると発生頻度が減少する兆候も見られるという。

 報告書によると、これは攻撃者が以前のような無差別攻撃型を採用しなくなり、より高額の“報酬”をもたらす知名度の高い大企業を狙うようになったためだという。

出典:Cyberattacks targeting IT vendors intensify, causing bigger losses(CFO Dive)
注1:Cybersecurity's Biggest Blind Spot: Third-Party Risk, New Resilience Analysis Finds(PR Newswire)
注2:Cost of a Data Breach Report 2024(IBM)
注3:UnitedHealth reaches record revenue in 2024, though profit falls(Healthcare Dive)
注4:Dealer Losses Due to CDK Cyberattack Reach $1.02 Billion(ANDERSON ECONOMIC GROUP)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。