ニュース

ECサイトの半数が過去1年にサイバー攻撃を経験、企業規模が小さいほど対策を怠る傾向

 トレンドマイクロ株式会社は1日、「企業におけるECサイトのセキュリティ実態調査2016」の調査結果を発表した。企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619人を対象に、2016年12月27~28日に実施したもの。

 「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」という質問に対して、「受けたことがある」と回答したのは49.1%、「ない」が38.8%となった。

 619人を対象に、受けた攻撃の手法について尋ねたところ、「DDoS攻撃」が24.1%、「OSの脆弱性を突く攻撃」が23.6%、「ミドルウェアの脆弱性を突く攻撃」が18.6%、「ウェブアプリケーションの脆弱性を突く攻撃」が12.9%となり、数多くの企業がECサイトの脆弱性を狙った攻撃を受けていることが明らかになった。

過去1年以内にサイバー攻撃を受けた割合

 OS、ミドルウェアの脆弱性を狙った攻撃に対して有効な対策である侵入防御システム/侵入検知システム(IPS/IDS)を「導入している」と回答したのは62.4%。一方、「導入していない」が17.1%、「分からない」が20.5%だった。

IPS/ IDSの導入率

 導入していないと回答した106人に理由を尋ねたところ、「自社のセキュリティ対策で十分と考えているため」が45.3%に上った。続いて「今までに攻撃を受け被害が発生した経験がないため」が36.8%、「コスト削減でIPS/IDSの導入を見送った」が17.9%。

 ECサイトのOSおよびミドルウェアの修正プログラムの適用状況を調査したところ、OSについては17.3%、ミドルウェアに関しては19.7%が「適用していない」と回答。

 企業規模別に見ると、100人以下の企業ではOS、ミドルウェアともに3割以上が適用していないことが分かった。

ECサイトに対して、修正プログラムが公開されてから適用するまでの期間(OS)
ECサイトに対して、修正プログラムが公開されてから適用するまでの期間(ミドルウェア)

 過去1年以内にサイバー攻撃を受けたという304人のうち、7割を超す227人が実害に繋がったと回答。実害の具体的な内容は「顧客のログイン情報(IDとパスワード)の漏えい」が42.7%と最多。以下、「顧客の個人情報(住所、メールアドレス、電話番号など)の漏えい」が40.5%、「ECサイトのシステムダウン」が38.8%、「顧客のクレジットカード情報(カード番号、カード名義、有効期限など)の漏えい」が28.6%、「ECサイトのシステム改ざん」が21.1%、「ECサイトのウェブページ改ざん」が12.8%と続く。

サイバー攻撃による実害

 実害のあった227人を対象に、総被害金額について調査したところ、100万円未満が22.5%だった一方、1000万円以上が32.9%に上った。

サイバー攻撃による実害に対する総被害金額

 トレンドマイクロでは、IPS/IDS機能を搭載したセキュリティ対策製品の導入を推奨している。サーバーを停止することなく導入できることや、修正プログラムの緊急度を通知する機能、修正プログラムの適用が必要なサーバーを知らせる機能を搭載するため、運用の負荷を抑えながら効率的にセキュリティを強化できるとしている。

【お詫びと訂正 2017年2月10日 12:36】
 記事初出時、攻撃手法に関する調査対象者数に誤りがありました。お詫びして訂正いたします。

 誤:被害を受けたという304人を対象に
 正:619人を対象に