チェック・ポイント・ソフトウェア・テクノロジーズは6月4日、調査レポート「サイバー犯罪が企業に与える影響(The Impact of Cybercrime on Businesses)」を発表した。調査の結果、標的型攻撃が成功した場合、10万~30万ドルの被害が発生することが判明したという。
同調査は米国、英国、ドイツ、香港、およびブラジルの上級役員およびITセキュリティ管理者2,618名を対象に実施したもので、回答者は、金融や工業、防衛、小売、医療、教育などさまざまな分野・規模の組織に属している。
同レポートによると、標的型攻撃を受けた企業の65%は「攻撃の目的は金銭的利益を狙った詐欺だった」と回答し、攻撃によって業務の中断や知的財産など重要情報の漏洩が発生したという。調査対象企業は、1週間当たり平均66件のセキュリティ攻撃の試みを受けていたという。
回答者の概算によると、標的型攻撃が成功した場合の被害額は1件当たり平均21万4,000ドルで、最も高額だったのはドイツの回答者で1件当たり平均30万ドル、最も低かったのはブラジルの1件当たり10万ドルだった。概算額には、フォレンジック調査、技術ソリューションの導入、社会的信用の回復にかかる費用が含まれている。
調査対象企業が過去2年間に受けた攻撃のうち、特に深刻な影響が及んだのはSQLインジェクションであり、Advanced Persistent Threats(APT)攻撃、ボットの感染、DoS攻撃を経験した企業は全体の3分の1以上に上っている。標的型攻撃に起因する被害の中で特に深刻なものとしては、業務の中断と知的財産をはじめとする重要データの漏洩が挙げられた。
最もリスクが大きな社員の行動を尋ねた設問では、すべての地域で「(スマートフォンやタブレットPCなどの)モバイル・デバイスの利用」が第1位となり、続いて「ソーシャル・ネットワークの利用」、「USBメモリなどのリムーバブル・メディアの利用」が挙げられた。