SK shieldusは15日、中小企業週間に合わせて、中堅・中小企業を対象にしたサイバー被害の分析結果を公表した。2021～2025年に国内企業で発生した事例を分析したところ、被害の中心はランサムウェアと情報流出で、被害を認知してから調査に着手するまでに平均106.1日かかっていた。

分析は、同社のインシデント対応専門チーム「Top-CERT」が保有する2021～2025年の国内企業の被害事例データを基に実施した。中堅・中小企業を狙う攻撃の類型や、対応の実態を整理したとしている。

過去5年間に中堅・中小企業で確認された主な被害は、ランサムウェア、情報流出、暗号資産マイニングの順だった。このうちランサムウェアが44.9%、情報流出が42.9%を占め、全体の大半を占めた。

侵入経路では、アプリケーションの脆弱性が20.8%で最も多く、ファイルアップロード機能の脆弱性が18.9%、VPNの脆弱性が15.4%で続いた。マルウェア付きメール、ウォータリングホール攻撃、外部に露出したURLも主要な初期侵入経路として挙がった。攻撃は、システムの脆弱性や手薄なセキュリティ運用体制につけ込む形が目立った。

2025年の主な事例では、マルウェア付きメールやウォータリングホール攻撃を通じた内部データの流出、ブルートフォース攻撃を悪用したランサムウェア感染、サプライチェーン攻撃による暗号資産マイニングなどが確認された。

一方で、中堅・中小企業では被害発生後の初動の遅れも浮き彫りになった。分析対象事例ベースでは、初期侵入から被害の認知、調査依頼と実際の調査着手に至るまで、平均106.1日を要した。

業種別では、分析対象となった被害事例のうち製造業が47.4%を占めて最も多かった。次いで情報サービス業が15.8%、金融業が10.5%だった。

SK shieldusは「足元ではAI技術の普及に伴い、サイバー攻撃はより巧妙かつ高度になっている。限られた人員と資源だけであらゆる脅威に対応し切るのは難しい」と説明。その上で「中堅・中小企業でも負担を抑えながら専門的なセキュリティ対応体制を運用できるよう、支援を拡大していく」とした。