ニュース

企業のサイバー攻撃遭遇率は19.3%、メールによる攻撃が増加、IPA調査

 独立行政法人情報処理推進機構(IPA)は15日、企業のセキュリティ対策の現状や被害状況などについて調査した「2014年度情報セキュリティ事象被害状況調査」の報告書を公開した。サイバー攻撃を受けたと回答した企業は全体の19.3%に上り、前年より5.5ポイント増加した。

 調査は、業種別・従業員数別に抽出した1万3000企業を対象に郵送アンケートで行ったもので、回答数は1913件。調査期間は2014年8月〜10月(調査対象期間は2013年4月〜2014年3月)。

 企業に対するサイバー攻撃については、被害に遭ったという回答が4.2%、発見のみという回答が15.1%で、合計19.3%がサイバー攻撃に遭遇。前年調査の13.8%から5.5ポイント増加した。

サイバー攻撃の遭遇経験

 被害の内訳は、ウェブサイトに関するものが多数を占めており、「ウェブサイトのサービスの機能が低下させられた」が22.5%、「ウェブサイトのサービスが停止させられた」が13.8%など。

 サイバー攻撃に遭遇した企業(368社)のうち、標的型攻撃を受けた企業の割合は30.4%(112社)で、そのうち18.8%(21社)が被害を受けている。標的型攻撃の手口としては、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる」が54.5%で最も多く、次いで「メールに表示されたURL経由で攻撃用のウェブサイトに誘導される」が40.2%となった。標的型攻撃メールは、ウイルスが添付されているだけでなく、開封を促すために文面などが巧妙になっているとして、注意を呼び掛けている。

サイバー攻撃の被害に遭った企業のその手口
標的型攻撃の具体的な手段

 ウイルスに遭遇(発見または感染)した割合は73.8%(前年調査は71.5%)で、年々増加傾向にある。侵入経路別で最も多いのは「ウェブサイト閲覧」の65.4%で、次いで「メール」が60.6%。前年調査ではウェブサイト閲覧が63.2%、メールが51.7%で、メールの増加率が高い。

ウイルスの侵入経路

 クライアントPCへのセキュリティパッチの適用状況については、「常に適用し、適用状況も把握」が43.3%で、前年調査の36.0%から7.3ポイント増加した。一方で、「常に適用する方針・設定だが、実際の適用状況は不明」は29.7%、「各ユーザーに適用を任せている」は13.6%で、適用を確認していない企業も依然として4割強存在している。

クライアントPCへのセキュリティパッチ適用の有無

 サーバーへのセキュリティパッチ適用状況については、パッチを「ほとんど適用していない」割合は、外部に公開しているサーバーでは6.3%、組織内部で利用しているサーバーでは16.8%となった。セキュリティパッチを適用しない理由については、「パッチの適用が悪影響をおよぼすリスクを避けるため」が74.0%で最も多い。

サーバーへのセキュリティパッチ適用の有無

 主な業務システムの一般ユーザーアカウントについて、「システム上で、定期的な変更を必須としている」企業の割合は53.1%。従業員規模別では、300人以上の企業では62.8%であるのに対して、300人未満の企業では37.4%と大きな差が出ている。

一般ユーザーアカウント管理におけるパスワード管理ルール

(三柳 英樹)