“ランサムウェア被害”の報告されない実態、8割が「平均130万ドルを支払っていた」：公表値より深刻なサイバー被害、Cohesityが調査

Cohesityの調査で、サイバー攻撃が業績予測の修正や株価変動、法的負担など公表値以上の影響を企業にもたらしている実態が明らかになった。

[＠IT]

　データセキュリティベンダーのCohesityは2025年11月10日、ランサムウェア（身代金要求型マルウェア）などのサイバー攻撃が企業に与える影響について調査した結果を発表した。調査は2025年9月、ITおよびセキュリティの意思決定者3200人（日本、米国、ブラジル、英国、ドイツ、フランス、オーストラリア、韓国、インド、シンガポール）を対象に実施したものだ。

　Cohesityの調査レポート「Risk-Ready or Risk-Exposed: The Cyber Resilience Divide」によると、これまでに少なくとも1件の「重大なサイバー攻撃」を経験した回答者は、全体の約4分の3（76％）に上った。同調査は、「重大なサイバー攻撃」を財政、評判、業務、顧客離れなど測定可能な被害をもたらしたインシデントと定義している。

　実際にはランサムウェアなどのサイバー攻撃が業績に与えた影響を公表している企業は一部にとどまっている。だが今回の調査で明らかになったのは、公表されている以上に、企業内部には財政面を含めてより深刻な影響が及んでいる実態だ。

身代金支払いの実態も――報告されない被害状況

　Cohesityの調査では、インシデントによる主な影響として以下が明らかになった。

• 上場企業の70％：攻撃を受けた後に業績や財務に関する予測（ガイダンス）を修正した
• 68％：自社株価に影響した
• 非公開企業の73％：予算をイノベーションと成長に向けた取り組みから振り替えた
• 92％：罰金や訴訟、その他の強制執行を含む法規制やコンプライアンス上の影響を受けた
• 82％：ランサムウェア1件当たり平均で身代金130万ドルを支払った

サイバー攻撃による実際の被害状況（提供：Cohesity）

　サイバー攻撃の発生後に、業績予想の修正を公式に公表した上場企業はごくわずかだ。だが今回の調査では、重大なサイバー攻撃は、公開情報から読み取れる以上に、財務負担や業務影響をもたらしている現実が明らかになった。サイバー攻撃の実際の影響は、公になっている以上に広範であり、企業に深刻な影響を与えているということだ。

　この結果についてCohesityのCEOであるサンジェイ・プーネン氏は、「サイバー攻撃はもはや単なる技術的な問題ではなく、ビジネス面からも財務面からも対処しなければならない必須事項になっている」と述べている。

いま考えるべきサイバーリスクとは

　調査では、企業がサイバーリスクを定量的に把握する方法に変化が起きていることも明らかになったという。Cohesityはサイバーリスクの予防と検出が優先事項であることは変わらないとしつつ、企業がどれほど迅速に復旧することができるか、またリーダーがどれほど効果的に市場や規制当局、顧客を安心させられるかが真の差別化要因になっていると分析する。

　プーネン氏は今回の調査結果を受け、多くの組織が、AI（人工知能）とセキュリティのパラドックスに直面しているとも指摘。企業がAI技術を日常業務に組み込んでいく中で、IT部門が生成AI導入のスピードと規模に苦慮しているという現実が浮き彫りになったという。

　調査では、IT部門およびセキュリティ部門のリーダーの81％が、生成AIの進歩のスピードが、自社が安全にリスクを管理できるスピードを上回っていると回答した。一方で回答者の大部分は、生成AIがリスクを検出して対処し、復旧することに役立つとも認識している。