企業のサイバーセキュリティリスク、認証情報漏洩の実態が暴かれる

SOMPOリスクマネジメント株式会社は、2023年度に日本の企業500社を対象にした認証情報漏洩に関する調査を実施し、驚愕の結果を報告しました。本調査によると、約22%に当たる111社から認証情報の漏洩が確認され、これは特に業種や企業規模を問わず深刻なセキュリティリスクが広がっていることを示しています。

調査の背景

近年、デジタルトランスフォーメーション（DX）が進む中で、企業はITシステムに依存するようになりました。しかしその一方で、サイバー攻撃の手法がますます巧妙化し、企業にとって大きな脅威となっています。例えば、近年流行しているインフォスティーラーという情報窃取マルウェアによって、感染したコンピュータから認証情報が盗まれる事例が急増しています。これらの情報は悪用される可能性が高く、企業のセキュリティが脅かされています。

このような背景を受けて、SOMPOリスクはKryptos Logic社と共同で日本企業のサイバーリスクの現状を把握するため、認証情報漏洩実態の調査を行いました。

調査概要

調査期間

その調査は2023年4月1日から2024年3月31日まで行われました。

調査対象・手法

調査の対象は、日本国内の企業500社であり、業種は製造業、エネルギー、運輸・物流、金融、建設、販売、飲食、IT・メディア、医療、福祉の10業種から各50社が無作為抽出されました。また企業の規模によっても分類され、各業種から小規模（売上高100億円未満）10社、中規模（売上高100億円以上500億円未満）10社、大規模（売上高500億円以上）30社が選定されました。

調査手法としては、Kryptos Logic社の先進的なプラットフォームを活用し、インフォスティーラー内部のデータ通信をリアルタイムで監視することで、漏洩の前段階を検知する独自の手法が採用されました。

調査結果

全体の概要

調査対象500社のうち、111社（約22%）で認証情報漏洩が確認されました。特に、IT・メディア業界では50社中20社、建設・設備業界では50社中17社が漏洩しており、業種ごとのリスクの違いが浮き彫りとなりました。大規模企業（売上高500億円以上）でも、300社中86社（約28%）から漏洩が確認されており、対策が急務であることが示されています。

漏洩した認証情報の特徴

漏洩した情報の多くは企業のシステムやネットワークへのアクセス情報であり、Microsoft OnlineやSalesforceなどの主要なクラウドサービスへのアクセス情報も確認されました。特に、認証情報が漏洩した企業の半数以上は、今年度に新たに感染が確認された企業でした。

今後の対応

SOMPOリスクは調査結果を基に詳細なリスク分析を行い、効果的な対策を提案する調査レポートを無料公開することを決定しました。また、グループ統一ブランド「SOMPO CYBER SECURITY」のもと、企業のサイバーセキュリティの強化に貢献するための様々な施策を実施していく方針です。これからの企業活動において、この情報漏洩のリスクをどう管理するかが大きな課題となるでしょう。

レポートの全文は公式サイトからダウンロード可能で、企業のサイバーセキュリティ対策の強化に向けた一歩につながる内容になっています。

会社情報