企業のサイバー攻撃遭遇率は19.3％、メールによる攻撃が増加、IPA調査

　独立行政法人情報処理推進機構（IPA）は15日、企業のセキュリティ対策の現状や被害状況などについて調査した「2014年度情報セキュリティ事象被害状況調査」の報告書を公開した。サイバー攻撃を受けたと回答した企業は全体の19.3％に上り、前年より5.5ポイント増加した。

　調査は、業種別・従業員数別に抽出した1万3000企業を対象に郵送アンケートで行ったもので、回答数は1913件。調査期間は2014年8月～10月（調査対象期間は2013年4月～2014年3月）。

　企業に対するサイバー攻撃については、被害に遭ったという回答が4.2％、発見のみという回答が15.1％で、合計19.3％がサイバー攻撃に遭遇。前年調査の13.8％から5.5ポイント増加した。

サイバー攻撃の遭遇経験

　被害の内訳は、ウェブサイトに関するものが多数を占めており、「ウェブサイトのサービスの機能が低下させられた」が22.5％、「ウェブサイトのサービスが停止させられた」が13.8％など。

　サイバー攻撃に遭遇した企業（368社）のうち、標的型攻撃を受けた企業の割合は30.4％（112社）で、そのうち18.8％（21社）が被害を受けている。標的型攻撃の手口としては、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる」が54.5％で最も多く、次いで「メールに表示されたURL経由で攻撃用のウェブサイトに誘導される」が40.2％となった。標的型攻撃メールは、ウイルスが添付されているだけでなく、開封を促すために文面などが巧妙になっているとして、注意を呼び掛けている。

サイバー攻撃の被害に遭った企業のその手口

標的型攻撃の具体的な手段

　ウイルスに遭遇（発見または感染）した割合は73.8％（前年調査は71.5％）で、年々増加傾向にある。侵入経路別で最も多いのは「ウェブサイト閲覧」の65.4％で、次いで「メール」が60.6％。前年調査ではウェブサイト閲覧が63.2％、メールが51.7％で、メールの増加率が高い。

ウイルスの侵入経路

　クライアントPCへのセキュリティパッチの適用状況については、「常に適用し、適用状況も把握」が43.3％で、前年調査の36.0％から7.3ポイント増加した。一方で、「常に適用する方針・設定だが、実際の適用状況は不明」は29.7％、「各ユーザーに適用を任せている」は13.6％で、適用を確認していない企業も依然として4割強存在している。

クライアントPCへのセキュリティパッチ適用の有無

　サーバーへのセキュリティパッチ適用状況については、パッチを「ほとんど適用していない」割合は、外部に公開しているサーバーでは6.3％、組織内部で利用しているサーバーでは16.8％となった。セキュリティパッチを適用しない理由については、「パッチの適用が悪影響をおよぼすリスクを避けるため」が74.0％で最も多い。

サーバーへのセキュリティパッチ適用の有無

　主な業務システムの一般ユーザーアカウントについて、「システム上で、定期的な変更を必須としている」企業の割合は53.1％。従業員規模別では、300人以上の企業では62.8％であるのに対して、300人未満の企業では37.4％と大きな差が出ている。

一般ユーザーアカウント管理におけるパスワード管理ルール