ENISA テレコム・セキュリティ・インシデント 2024

こんにちは、丸山満彦です。

EUの26カ国と、2カ国のEFTAを含む28カ国から2024年に発生した主要な通信業界のセキュリティ・インシデント(188件)を集計、分析しまとめたもの...

2023年の156件に比べると増加していますね...

例年と同じように、サイバーインシデントというよりも、システム障害が中心です。

 

● ENISA

・2025.07.15 Telecom Security Incidents 2024

・[PDF]

・[DOCX][PDF] 仮訳

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The present report provides anonymised and aggregated information about major telecom security incidents which occurred during 2024. Incident reporting is an important enabler of cybersecurity supervision and a support tool for policymaking at the national and EU levels.	本報告書は、2024年に発生した主要な通信セキュリティインシデントに関する匿名化および集約化された情報を提供する。インシデントの報告は、サイバーセキュリティの監督を可能にする重要な要素であり、各国および EU レベルでの政策立案を支援するツールである。
In the EU, telecom operators notify significant security incidents to their national authorities. The national authorities send summary reports to ENISA. Under Article 40, the European Electronic Communications Code (EECC 2018/1972) reinforces the provisions ([1]) for reporting incidents, clarifying what incidents fall within its scope ([2]), as well as the technical guidelines ([3]) and the notification criteria. CIRAS is a platform that provides statistics, collects data from national authorities and provides a visual tool for displaying incidents through specific graphs ([4]). The incident reporting period for 2024 was from January 1st to February 24th 2025.	EU では、通信事業者は重大なセキュリティインシデントを自国の当局に報告する。各国当局は、その概要を ENISA に報告する。第 40 条に基づき、欧州電子通信コード（EECC 2018/1972）は、インシデントの報告に関する規定（[1] ）を強化し、その適用範囲（[2] ）および技術的ガイドライン（[3] ）と報告規準を明確にしている。CIRAS は、統計情報を提供し、各国当局からデータを収集し、特定のグラフを用いてインシデントを表示する視覚的なツールを提供するプラットフォームだ（[4] ）。2024 年のインシデント報告期間は、2024 年1 月 1 日から 2025年2 月 24 日までだった。
It is worth mentioning that as of 18 October 2024, the NIS2 Directive repeals Articles 40 – 41 of the EECC, which will consolidate the reporting of breaches of integrity and availability across multiple sectors including but not limited to providers of public electronic communications networks and providers of publicly available electronic communications services. The present report covers only 2024, where articles 40 - 41 of the ECCC are still valid.	なお、2024 年 10 月 18 日付で、NIS2 指令により EECC の第 40 条から第 41 条が廃止され、公衆電子通信網のプロバイダや公衆が利用可能な電子通信サービスのプロバイダなど、複数のセクターにおける完全性および可用性の侵害の報告が統合される予定である。本報告書は、ECCC の第 40 条から第 41 条がまだ有効である 2024 年のみを対象としている。
Key findings in 2024 summary report	2024年要約報告書の主要な発見事項
The 2024 annual summary contains reports of 188 incidents submitted by national authorities from 26 EU Member States and 2 European Free Trade Association (EFTA) countries. This is an increase of 20,5% over the 2023 with 156 incidents from 26 EU Member States and 1 EFTA country.	2024 年の年次要約には、EU 加盟 26 カ国および欧州自由貿易連合（EFTA）加盟 2 カ国の国家当局から提出された 188 件のインシデントの報告が掲載されている。これは、EU 加盟 26 カ国および EFTA 加盟 1 カ国から提出された 156 件のインシデント（2023 年）に比べ、20.5% の増加となっている。
Compared to 2022 and 2023, 2024 shows a significant drop in user hours lost.	2022年と2023年と比較して、2024年はユーザーが失った時間数が大幅に減少している。
A significant decrease of more than 50% of user hours lost was observed in 2024 compared to 2023. According to the data received, 1743 million user hours ([5]) were lost in 2024 while 3906 million user hours were lost in 2023. This is clearly a much lower number compared to last year, and returns at the levels of a decade ago, as we can see in Figure 1. A plausible hypothesis is that the trend may indicate the possibility of improved outage management, enhanced infrastructure, and increased system resilience.	2024年は2023年と比較して、ユーザーが失った時間数が50％以上減少した。受け取ったデータによると、2024年には17億4,300万時間（[5] ）のユーザー時間が失われたのに対し、2023年には39億600万時間のユーザー時間が失われた。これは明らかに昨年と比較して大幅に減少しており、図1に示すように10年前のレベルに戻っている。 妥当な仮説としては、この傾向は、停止管理の改善、インフラの強化、システムのレジリエンスの向上を示している可能性がある。
Figure 1: Number of incidents submitted by countries and user hours lost (2023–2024)	図 1：各国から報告されたインシデント件数と損失ユーザー時間（2023 年～2024 年）
Additionally, the following findings can also be highlighted:	さらに、以下の点も注目すべきだ。
• Highest number of incidents to date (188) reported in electronic communications incident reporting to ENISA. Despite the rise in reported incidents, there was no corresponding increase in user hours lost.	• ENISA に報告された電子コミュニケーションのインシデントは、過去最多の 188 件に達した。報告されたインシデントは増加したものの、ユーザーの損失時間はそれに見合った増加は見られなかった。
• The distribution of incidents was as follows: service outage - 178, other impact on service - 4, Impact on other systems - 1, threat or vulnerability - 1, impact on redundancy - 2 and near miss - 1.	• インシデントの分布は、サービス停止 178 件、サービスへのその他の影響 4 件、他のシステムへの影響 1 件、脅威または脆弱性 1 件、冗長性への影響 2 件、ニアミス 1 件となっている。
• 19,5% Increase in incidents with very large impact from 77 (2023) to 92 (2024).	• 非常に大きな影響を与えたインシデントは、77 件（2023 年）から 92 件（2024 年）へと 19.5% 増加した。
• Root causes key statistics:	• 根本原因の主要統計：
o System failures continued to largely dominate in terms of impact, reaching 60% in 2024 with 113 incidents, which is a slight decrease from 2023 (61%). They accounted for 548 million user hours lost or almost a third of all the user hours lost for 2024.	o 影響の点では、システム障害が引き続き大部分を占め、2024 年には 113 件で 60% に達したが、2023 年（61%）からはわずかに減少した。これは 5 億 4,800 万時間のユーザー時間損失に相当し、2024 年のユーザー時間損失全体の 3 分の 1 近くを占めている。
o Human errors make a small decrease in percentage of incidents to 19% coming from 21% in 2023, however there is more than two times increase of user hours lost from 181 million to 402 million in 2024.	o 人為的ミスによるインシデントの割合は、2023年の21%から19%へとわずかに減少しましたが、2024年には失われたユーザー時間は1億8,100万時間から4億200万時間へと2倍以上に増加している。
o Incidents due to natural phenomena increased to 25 reaching a share of 13% leading to 605 million user hours lost, which is an increase of almost than 9 times the previous year (2023 - 72 million user hours lost).	o 自然現象によるインシデントは 25 件に増加し、その割合は 13% に達し、6 億 500 万時間のユーザー時間損失につながった。これは、前年の 7,200 万時間のユーザー時間損失の 9 倍近くの増加だ。
o Malicious actions accounted for 15 incidents representing 8% share of total incidents for 184 million user hours lost, which is lower than in 2023 with 16 incidents representing 10% and 214 million user hours lost.	o 悪意のある行為によるインシデントは 15 件で、全インシデントの 8% を占め、1 億 8,400 万時間のユーザー利用時間が失われました。これは、2023 年の 16 件（10%）および 2 億 1,400 万時間のユーザー利用時間の損失に比べ、減少している。
• Affected services key statistics	• 影響を受けたサービスの主要統計
o Mobile telephony and mobile internet were again the most impacted sectors, with respectively 100 and 86 incidents, for a share of 57% and 49% similar to 2023.	o 携帯電話およびモバイルインターネットは、それぞれ 100 件および 86 件のインシデントが発生し、2023 年と同様、57% および 49% の割合を占め、再び最も影響を受けたセクターとなった。
o Fhe fixed internet increased their share of incidents from 16% in 2023 to 26% in 2024.	o 固定インターネットのインシデントの割合は、2023年の16%から2024年には26%に増加した。
• Technical causes	• 技術的な原因
o In 2024, 41 incidents were marked as cable cuts (23%), which gives it a 10 % lead over the next two technical causes, such as faulty software change/update (14%) and software bugs (13%). The positions of cable cuts and faulty software change/update swap if we take into account the resulted user hours lost. Faulty software change/update incidents lead to 515 million user hours lost, while cable cuts to 331 million.	o 2024 年には、41 件のインシデントがケーブル切断（23%）と分類され、ソフトウェアの変更/更新の不具合（14%）およびソフトウェアのバグ（13%）という、次の 2 つの技術的な原因を 10% 上回った。ケーブルの切断とソフトウェアの変更/更新の不具合は、その結果として失われたユーザー時間数を考慮すると順位が逆転する。ソフトウェアの変更/更新の不具合によるインシデントでは 5 億 1,500 万時間のユーザー時間が失われたのに対し、ケーブルの切断では 3 億 3,100 万時間だった。
• In 2024, 65 incidents were flagged as failures by third parties which is a 25% increase compared to 2023 where 52 were reported.	• 2024 年には、65 件のインシデントがサードパーティによる障害として報告され、2023 年の 52 件から 25% 増加した。
• No cross-border incidents were reported.	• 国境を越えたインシデントは報告されていない。
Figure 2: Root cause category	図 2：根本原因のカテゴリー
Figure 3: Share of user hours lost for each root cause category	図 3：各根本原因カテゴリーにおけるユーザー時間の損失割合
Multiannual trends over the period 2012–2024	2012年から2024年までの複数年傾向
Over the 13 years, EU Member States reported 1 930 telecom security incidents, stored in the ENISA cybersecurity incident reporting and analysis system (CIRAS). The statistics are accessible online ([6]).	13 年間に、EU 加盟国は 1,930 件の通信セキュリティインシデントを ENISA サイバーセキュリティインシデント報告・分析システム（CIRAS）に報告した。この統計は、[6] でオンラインで閲覧できる。
Figure 4: Root cause categories for telecom security incidents in the EU reported over the 2012–2024 period	図 4：2012 年から 2024 年にかけて報告された EU における電気通信セキュリティインシデントの根本原因カテゴリー
An analysis of incident reports over the years suggests that European telecommunication networks may be becoming more robust and resilient, as the rising number of incidents has not resulted in an increase in user hours lost.	長年にわたるインシデント報告の分析によると、インシデントの件数が増加しても、ユーザーの損失時間は増加していないことから、欧州の通信ネットワークはより堅牢でレジリエンスが高まっていると考えられる。
The following trends, in particular, have emerged:	特に、以下の傾向が顕著になっている。
• System failures (Blue) remains the top root cause over the years.	• システム障害（青）は、長年を通じて最も多い根本原因となっている。
• Malicious actions (Red) remain relatively stable over time with minimal impact, suggesting they are not primary causes of major disruptions.	• 悪意のある行為（赤）は、時間経過とともに比較的安定しており、影響も最小限に留まっていることから、重大な障害の主要な原因ではないと考えられる。
• The most impacted services remain mobile telephony and mobile internet, which is valid for the last 8 years.	• 最も影響を受けたサービスは、過去 8 年間と同様、携帯電話およびモバイルインターネットである。
ENISA will continue to work with the national authorities responsible for telecom security and the NIS Cooperation Group to find and exploit synergies between various pieces of EU legislation, particularly when it comes to incident reporting, incl. cross-border incidents.	ENISA は、通信セキュリティを担当する各国当局および NIS 協力グループと引き続き協力し、特に国境を越えたインシデントを含むインシデントの報告に関して、EU のさまざまな法律間の相乗効果を見出し、活用していく。
[1] The reporting of security incidents has been part of the EU’s regulatory framework for telecoms since the 2009 reform of the telecoms package, in line with Article 13a of the framework directive (2009/140/EC) that came into force in 2011.	[1]セキュリティインシデントの報告は、2011 年に施行された枠組み指令（2009/140/EC）の第 13a 条に基づき、2009 年の電気通信パッケージの改正以来、EU の電気通信に関する規制の枠組みの一部となっている。
[2] It is worth noting that since 2016 security incident reporting is also mandatory for trust service providers in the EU under Article 19 of the eiDAS regulation. In 2018, under the NIS directive, security incident reporting became mandatory for operators of essential services in the EU and for digital service providers, under Article 14 and Article 16 of the NIS directive.	[2]2016 年以降、eiDAS 規則第 19 条に基づき、EU 内のトラストサービス・プロバイダもセキュリティインシデントの報告が義務付けられていることは注目に値する。2018 年、NIS 指令第 14 条および第 16 条に基づき、EU 内の重要サービス事業者およびデジタルサービス・プロバイダもセキュリティインシデントの報告が義務付けられた。
[3] ENISA technical guidelines on incident reporting under the EECC, including on thresholds and calculation of hours lost.	[3]EECC に基づくインシデント報告に関する ENISA 技術ガイドライン（しきい値や損失時間の計算方法など）。
[4] available on https://ciras.enisa.europa.eu
[5] Derived by multiplying for each incident the number of users by the number of hours.	[5]各インシデントについて、ユーザー数に時間数を乗じて算出。
[6] Note that conclusions about trends and comparisons with previous years have to be made with caution, as national reporting thresholds change over the years. Indeed, reporting thresholds have been lowered in most countries in recent years, and reporting only covers the most significant incidents (not smaller incidents that may well be more frequent).	[6]各国における報告のしきい値は年ごとに変化するため、傾向や前年との比較については慎重な結論を下す必要があることにご留意ください。実際、近年、ほとんどの国で報告のしきい値が引き下げられており、報告の対象は最も重大なインシデントのみ（より頻発する可能性のある軽微なインシデントは対象外）となっている。

 

 

ダッシュボード

・CIRAS incident reporting

 

---

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.08 欧州 ENISA 年次報告書 - 2024年トラストサービス・セキュリティ・インシデント (2025.06.23)

・2024.12.29 ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)

・2024.03.18 ENISA テレコム・セキュリティ・インシデント 2022

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2022.03.17 ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10)

・2020.06.12 ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開