IPA(情報処理推進機構)は15日、企業の情報セキュリティ被害や対策について調べた「2014年度情報セキュリティ事象被害状況調査」を公表した。ウイルス遭遇率、サイバー攻撃遭遇率とも前回より増加しているが、クライアントパソコンやサーバーのセキュリティパッチ適用状況はまだ不十分な状況にある。
この調査は1989年度から実施されており、今回は通算25回目となる。業種別・従業員数別に抽出した1万3000社を対象に、情報セキュリティ体制・対策の現状と、ウイルス・サイバー攻撃による被害状況(対象期間:2013年4月~同3月)について問うもので、昨年8月~10月に実施し、1913件の回答を得ている(有効回収率14.7%)。
■ウイルス遭遇、サイバー攻撃遭遇とも前回より増加
コンピュータウイルスの遭遇経験(感染または発見)は、「ウイルスに感染した」が16.6%、「ウイルスを発見したが感染に至らなかった」が53.7%で、遭遇率は70.3%となり、前回調査より2.3ポイント増加した。サイバー攻撃については、「被害にあった」とする回答は4.2%、「発見のみ」とする回答は15.1%で、遭遇率は19.3%となり、前回から5.5ポイント増加した。
ウイルスの侵入経路は、インターネット接続(ホームページ閲覧など)」が65.4%、「電子メール」60.6%、「USB メモリ等の外部記憶媒体」が34.5%の順となった。サイバー攻撃の手口は、「DoS 攻撃」が43.2%、「標的型攻撃」30.4%、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」15.8%「SQLインジェクション」9.2%の順だった。
ウイルスの直接的被害をみると、「個人の業務停滞」42.3%が最多で、「パソコン単体の停止」31.2%、「特になし」29.7%、「システム停止・性能低下」14.8%などとなっている。サイバー攻撃を受けた企業の被害内容は、「Webサイトのサービスの機能が低下させられた」22.5%、「業務サーバのサービスの機能が低下させられた」20.0%、「Webサイトが改ざんされた」12.5%などで、Webサイトに関する被害が多数を占めた。
■標的型攻撃の手口は巧妙なメール
前述のサイバー攻撃に遭遇した19.3%(368社)のうち、30.4%(112社)が標的型攻撃を受け、うち18.8%(21社)が、ウイルス感染や不正アクセス、情報漏えい等の被害にあっている。従業員の規模別にみると、300人以上の企業では23.8%、300人未満の企業では3.6%となり、従業員数が多い企業での被害率は約6倍になる。
標的型攻撃の手口は、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる」が54.5%と最も多く、次いで「メールに表示されたURL経由で攻撃用のウェブサイトに誘導される」40.2%、「公的機関からのメールを装い、添付したウイルスファイルを開かせる」27.7%だった。開封を促すための文面等が巧妙になっており、攻撃を受けた企業が1年間(2013年度)に受けた「標的型攻撃と思われる電子メール」の件数は、「10~99 通」が34.8%で最も多く、次いで「1~9通」29.5%、「100~999通」13.4%だった。
■まだ十分でないセキュリティパッチ適用状況
クライアントパソコンへのセキュリティパッチ適用状況は、「常に適用し、適用状況も把握」が43.3%と、前回より7.3ポイント増加した。しかし、「実際の適用状況は不明」29.7%、「各ユーザに適用を任せている」13.6%と、実際に適用を確認していない企業が4割超で存在している。脆弱性が残るパソコンが標的にされ、サイト閲覧だけで感染させる攻撃が相次いでいることから、パッチ適用は十分とは言えない状況だ。
また、外部に公開しているサーバーがパッチを「ほとんど適用していない」割合は6.3%だが、組織内部で利用しているサーバーにパッチを「ほとんど適用していない」割合は16.8%だった。内部サーバーは外部から直接攻撃されることはないと考え、現状設定のまま変更したくない意識が働いていると推測されるという。しかし、前述のように、ウイルスの侵入経路として「USBメモリ等の外部記憶媒体」が34.5%もあることから、組織内での感染拡大防止のためにも、適切な管理が求められるとIPAは警告している。
(2015/01/19 ネットセキュリティニュース)
【関連URL:IPA】
・「2014年度情報セキュリティ事象被害状況調査」報告書について
http://www.ipa.go.jp/security/fy26/reports/isec-survey/index.html
・「2014年度情報セキュリティ事象被害状況調査」報告書[PDF]
http://www.ipa.go.jp/files/000043418.pdf