情報処理推進機構：情報セキュリティ：「2008年国内における情報セキュリティ事象被害状況調査」報告書の公開について

HOME >> 情報セキュリティ >> 「2008年国内における情報セキュリティ事象被害状況調査」報告書の公開について

情報セキュリティ

「2008年国内における情報セキュリティ事象被害状況調査」報告書を公開

　　～USBメモリ経由で感染するW32/Autorunによりウイルス遭遇・感染率が6年ぶりに上昇～

掲載日　2009年 5月19日
独立行政法人情報処理推進機構
セキュリティセンター

IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、最新の情報セキュリティ関連の被害実態及び対策の実施状況等を把握し、情報セキュリティ対策を推進するため、「2008年国内における情報セキュリティ事象被害状況調査」を実施し、報告書を公開しました。

　「2008年国内における情報セキュリティ事象被害状況調査」は、最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握するため、全国の10,000企業及び1,000自治体を対象とし、郵送によるアンケート調査を行いました。回収数は、企業1,907、自治体410です。本調査は、1989年度から毎年行っており、今回で20回目になります。

1．主な調査項目

(1) 情報セキュリティ対策の現状
　セキュリティ対策ソフト導入状況
　2009年のセキュリティ対策への投資額
　セキュリティパッチの適用状況
　情報セキュリティ対策教育の実施状況
(2) コンピュータウイルス対策に対する意識
　情報セキュリティ対策に関連して知りたいと思っている情報
(3) コンピュータウイルスによる被害状況
　コンピュータウイルス遭遇（感染または発見）経験
　感染・発見したウイルスの名称
　影響の最も大きかったウイルス
(4) ファイル共有ソフトを介した情報漏えい
　個人情報、業務情報流出被害経験の有無
　対応延べ人日
(5) フィッシング詐欺による被害について
　サイトの詐称による顧客情報の詐取または詐取可能性の有無
　実施した対応
(6) 標的型攻撃による被害について
　標的型攻撃の電子メールの有無
　攻撃の具体的手段
(7) その他の情報セキュリティ事象について

2．調査結果概要

（1）USBメモリ経由で感染するW32/Autorunによりウイルス遭遇・感染率が6年ぶりに上昇
　ウイルス遭遇・感染率は、2002年をピークとして横ばい～減少を続けていましたが、2008年のウイルス遭遇率は2007年の57.8%から60.4%に、感染率は2007年の12.4%から15.8%にやや上昇しました。この原因は、USBメモリ経由で感染するW32/Autorunの影響が大きいと考えられます。これは、2008年に感染したウイルスで最も多かったのが「W32/Autorun」（39.5%）であること、また、感染経路の「外部媒体・持ち込みクライアント（パソコン）」が2007年の23.7%から40.9%に急上昇していることから推測されます。
　これまで、インターネット経由のウイルス対策は進展しつつありましたが、USBメモリ経由でのウイルス対策まで手が回らない企業が多かったと見受けられます。外部媒体を通じて感染するウイルスに対しても、対策を実施していく必要があります。
［※別紙の図1-1～1-4を参照］

（2）2009年は大手企業を中心にセキュリティ投資抑制の見込み

　翌年のセキュリティ投資額の見込みを2007年調査と2008年調査で比較すると、「増額」が300人以上企業で35.5%から22.7%、300人未満企業で24.8%から16.6%に減少し、「減額」は300人以上企業で7.0%から14.9%、300人未満企業で7.2%から11.0%に上昇しており、大手企業を中心にセキュリティ対策に関わる投資を抑制する傾向が見受けられます。これは、2008年後半に世界を襲った経済不況が少なからず影響しているものと推測されます。
　セキュリティ投資が厳しい環境においても、必要なセキュリティ対策についてはコストをかけない方法や適切な運用で実施することが望まれます。また、不況の折には経済的利益の獲得を目的とした悪質な攻撃の増加も懸念されるため、組織においては重要情報の管理等の徹底を改めて確認する必要があります。
［※別紙の図2-1～2-2を参照］

（3) サーバへのパッチ適用が未対応の企業は約2割存在し、対策の進展は横ばい

　セキュリティパッチの適用は、外部公開ネットワークサーバに対して300人以上企業の14.3%、300人未満企業の15.5%が「ほとんど適用していない」との回答になっています。また、内部利用ローカルサーバに対しては、300人以上企業の24.3%、300人未満企業の20.3%が「ほとんど適用していない」との回答です。この状況は2007年調査結果とほぼ同程度の水準で推移しています。
　外部公開サーバもしくは内部サーバのいずれかに対して、パッチを「ほとんど適用していない」とした回答者に対してその理由を調査したところ、「パッチの適用が悪影響を及ぼすリスクを避けるため」が7割近くに達し最も多くなっています。また、25.1%は「パッチを適用しなくても問題ないと判断したため」と回答しており、パッチを適用しない場合の重大性を正しく認識していない層が未だに1/4も存在していると言えます。セキュリティパッチの計画的な適用については、その必要性を認識し、正しい知識を持つ必要があります。
［※別紙の図3-1～3-3を参照］

（4) ファイル共有ソフトによる情報漏えいへの対策が進展

　ファイル共有ソフトによる情報漏えい被害は、2007年の2.2%（51件）から1.4%（32件）に減少しています。これは、Winny等のファイル共有ソフトを通じた情報漏えいトラブルの事例が、社会的に大きく報道されたことにより、ファイル共有ソフトの使用によるリスク及び対策等の情報について、ある程度認知されるとともに、適切な対策が進展したと考えられます。
　一方で、いったん情報漏えいが発生した場合の対応作業は、2007年と同様、6人・日以上を要した組織が5割を超え、情報漏えい時の被害が大きいことが改めて示された結果となりました。今後も引き続き、対策を徹底していくことが必要です。
［※別紙の図4-1～4-2を参照］

（参考）
　別紙参考データ集
　http://www.ipa.go.jp/security/fy20/reports/isec-survey/attachment.html
　2007年国内における情報セキュリティ事象被害状況調査
　http://www.ipa.go.jp/security/fy19/reports/isec-survey/