決算資料から読み解くサイバー攻撃被害の実態は？ 1社当たり2億円超、数十億円規模に至る大きな影響も：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

サイバー攻撃は猛威を振るっている今、ある日突然、会社の機密情報や個人情報が盗まれ、トップが頭を下げる事態になったり、システムが通常通りに動作せず業務が止まり、売上にまで影響を及ぼすこともある。

[高橋睦美，ITmedia]

KMC 代表兼editor-in-chief 中村建助氏

　ランサムウェアの被害が相次ぎ、「サイバー攻撃は経営問題だ」と指摘されるようになって久しい。では、具体的にいったい被害額はいくらに上るのだろうか。

　長く日経BPで記者や編集長を務め、今はKMCの代表兼editor-in-chiefとしてさまざまなメディアへの寄稿やコンテンツ企画などに携わる中村建助氏が、2025年に実施した調査をベースに、「50社超の独自調査で判明したサイバー攻撃被害の損失額の現状」と題して講演した。

サイバー攻撃は経営問題そのもの、取引先やサプライチェーンに影響が生じることも

　たびたび報じられているとおり、サイバー攻撃は猛威を振るっている。ある日突然、会社の機密情報や個人情報が盗まれ、時には勝手に世の中に公開されてしまいトップが頭を下げる事態になることもあれば、システムが通常通りに動作せずに業務が止まってしまい、売上にまで影響を及ぼすこともある。

　中村氏はこうした実情を紹介し「サイバー攻撃は経営の問題そのものです。その上、この問題は社内に閉じず、取引先やサプライチェーン全体の事業にも影響を及ぼします」と述べた。

　ひとたびこうした被害に遭うと、まず、システム復旧作業や再発防止策の実施、損害賠償といった直接的な費用が発生する。「多くの企業では機会損失も発生することです。事業が継続できなくなることによって、売上や利益が減るという問題があります。中長期的にはレピュテーションリスクが生じ、長い目で見てもビジネス機会のロスにつながることも有り得ます」（中村氏）

　前述の通り、影響は社内だけに閉じることなく、サプライチェーン全体にも及ぶ。自社が被害に遭って発注元や取引先のビジネスに影響を与えることもあれば、自分たちには問題がなくても発注先でサイバー攻撃の被害が発生し、その余波で自社のビジネスが止まることも有り得る。

決算資料から読み解いたサイバー攻撃のリアルな被害、損害は1社当たり2億円超に

　このようにサイバー攻撃は、直接的、間接的にさまざまな金銭的被害をもたらし、それゆえに経営問題ということができる。

　では、被害やコストは具体的にいくら生じるのだろうか。

　中村氏が注目したのが、企業が投資家向けに発行する決算資料や損益計算書だ。サイバー攻撃の被害に遭った会社の中には、決算資料の中で「システム障害対応費用」や「情報セキュリティ対策費」という品目を立てて費用を計上し、公表しているところがある。同氏は2020年1月以降の決算期を対象に独自に調査を進めた。

　その結果は、日経クロステックの「決算調査で判明、サイバー被害52社のリアル」と題した特集記事で紹介されている。

　調査によれば、2020年1月から2025年2月中旬までの間に、サイバー攻撃による損失を特別損失や営業外費用として計上した企業は52社、累計損失額は約118億円に上ると指摘している。「単純に平均すると、一社当たり2億円を超す損害が出ています。もし売上が500億円で営業利益率が5％だとすると、営業利益が10％前後落ちるわけですから、かなりのインパクトだと言えます」（中村氏）

　中村氏はその後も調査を継続し、決算資料をウォッチしてきた。残念ながらその後も被害は増え続け、2025年8月末の時点でのべ61社、127億円の損失額となっている。

　すでに決算として公開された情報を追っていくと、例えば2024年に話題となった大手出版社の場合は少なくとも23億3800万円、製粉メーカーで16億200万円といった巨額の損失が計上されている。他にも数億から10億円規模の被害が出ている企業が複数あり、「ひとたび被害が発生すると、10億円程度の損失が起こり得ます」と中村氏は呼び掛けた。

　ここまでは直接的な被害額だが、さらに、機会損失によるロスにも触れた。例えば前述の出版社では、決算説明会において売上高が81億円、営業利益は50億円近く減少する旨を公表していた。やはり2024年にサイバー攻撃の被害に遭った大手精密機械メーカーでは、売上高が130億円、営業利益が40億円ほど影響を受けるほか、直接的な損失として約4億円を計上しており、たった1回の攻撃で相当なインパクトが生じることが分かる。

　中には、サイバー攻撃は1度であっても、その後2年、3年にわたって損失を計上し続けている企業もあったという。おそらく損害賠償の影響だと考えられるが、「被害の全体像はそのときだけでは分からず、簡単には終わらないことを忘れてはいけません」と中村氏は述べた。

　中村氏はこうした例を挙げ、「2020年度から数字を追っていますが、決算で不正アクセスによる損害を発表している会社は増えています。2025年もこの時点で昨年の数字を上回っており、過去最大となる見込みです。残念ながらサイバー攻撃のリスクは拡大する一方だと感じています」と警鐘を鳴らした。

　リスクが増大する要因の1つがランサムウェアだ。データを暗号化して金銭を要求する手口だが、身代金という直接的な被害以上に、システムそのものがまともに動作しなくなることによって被害が深刻化している。

　企業に多額の損失を発生させる大規模な被害だけでなく、「カジュアルな犯行」にも注意が必要だとした。中村氏によると「数百万円程度の身代金で暗号化を解除すると持ちかけ、多数の企業を次々攻撃する方法も増えてきています」という。

　データを暗号化するステップを踏まず、窃取して公表すると脅す「ノーウェアランサム」という手口も存在しており、典型的なランサムウェアだけでなく新たな手口にも注意を払うべきだとした。