HOME 情報セキュリティ資料・報告書・出版物調査・研究報告書「2014年度情報セキュリティ事象被害状況調査」報告書について

「2014年度情報セキュリティ事象被害状況調査」報告書について

掲載日　2015年1月15日
独立行政法人情報処理推進機構
技術本部セキュリティセンター

　2014年は、IPAに寄せられた標的型サイバー攻撃^(*1)の件数が2013年に比べ5.2倍に増加したり、コンピュータウイルスの感染によるインターネットバンキングの不正送金の被害^(*2)が法人で急増したりするなど、組織が保有する機密情報や金融資産を狙ったサイバー攻撃が発生しました。また、その手口は外部から組織を狙うものに限らず、内部者による不正行為の事例も大きな問題となりました。
　IPAでは、このような情報セキュリティ被害の動向や対策の実施状況を把握し、適切な対策の普及・啓発活動に役立てるため、「2014年度情報セキュリティ事象被害状況調査^(*3)」を実施しました。調査結果のポイントおよび調査概要は以下のとおりです。

1.調査概要

(1)	調査対象	：	業種別・従業員数別に抽出した13,000企業
(2)	調査期間	：	2014年8月～10月（調査対象期間：2013年4月～2014年3月）
(3)	調査方法	：	郵送調査法
(4)	回収結果	：	1,913件（有効回収率14.7%）
(5)	主な調査項目	：	回答企業の概要、情報セキュリティ体制・対策の現状、コンピュータウイルス・サイバー攻撃による被害状況

2.調査結果のポイント

（1）サイバー攻撃^(*4)の遭遇率が5.5ポイント増加、ウェブサイトにおける被害が増加
　サイバー攻撃の被害にあった回答は4.2％、発見のみの回答は15.1％であり、その合計（遭遇率）は19.3％となり、前回の13.8％から5.5ポイント増加しました（プレスリリース別紙①）。
　ウェブサイトに関する被害が多数を占めており、具体的な内容は、「ウェブサイトのサービスの機能が低下させられた」が最も多く22.5％、「ウェブサイトのサービスが停止させられた」被害も13.8％となっています（プレスリリース別紙②）。
　ウェブサイトが被害に遭う原因には、管理アカウントの窃取、ウェブサーバの脆弱性が狙われることなどがあります。

（2）標的型攻撃メールによる被害の状況
　標的型攻撃を受けたのはサイバー攻撃に遭遇した前述の19.3%（368社）のうち、30.4%（112社）でした（プレスリリース別紙③）。そのうち被害にあった割合は18.8%（21社）でした（プレスリリース別紙④）。なおその手口を聞いたところ、「同僚や取引先、サービス事業者からのメールを装い、添付したウイルスファイルを開かせる」が最も多く54.5％（61社）、次に「電子メールに表示されたURL経由で攻撃用のウェブサイトに誘導される」が40.2％（45社）でした（プレスリリース別紙⑤）。このように標的型攻撃メールは、ウイルスが添付されているだけでなく、開封を促すため文面等が巧妙になっていることから注意が必要です。

（3）電子メールでウイルスに遭遇する割合が8.9ポイント増加
　ウイルスに遭遇（発見と感染）した割合は2012年度（2013年調査）の71.5％から73.8％となり、2011年度の68.4％から年々増加傾向にあります（プレスリリース別紙⑥）。
　侵入経路別にみると、最も多いのが「ウェブサイト閲覧」で65.4％（前回63.2％）、次いで「電子メール」が前回の51.7％から8.9ポイント増加し60.6％でした（プレスリリース別紙⑦）。

（4）クライアントパソコンへのセキュリティパッチ適用率が7.3ポイント向上
　クライアントパソコンへのセキュリティパッチの適用状況を聞いたところ、「常に適用し、適用状況も把握」が43.3%と、前回の36.0％から7.3ポイント増加しました（プレスリリース別紙⑧）。
　一方で、「常に適用する方針・設定だが、実際の適用状況は不明（29.7％）」と「各ユーザに適用を任せている（13.6％）」の合計は43.3％となり（プレスリリース別紙⑧）、前回の48.0%よりは減少しているものの、実際に適用を確認していない企業が依然として4割超存在していることがわかりました。
　脆弱性が残存するパソコンをターゲットとし、ウェブサイトを閲覧しただけで感染させる攻撃が相次いでいることから、セキュリティパッチ適用が浸透しつつありますが、まだまだ十分とは言えない状況です。

（5）内部サーバにセキュリティパッチをほとんど適用していないのは16.8%
　外部に公開しているサーバがセキュリティパッチを「ほとんど適用していない」割合は6.3%の一方で、組織内部で利用しているサーバにセキュリティパッチを「ほとんど適用していない」が16.8％でした（プレスリリース別紙⑨）。その理由の筆頭は、「パッチの適用が悪影響を及ぼすリスクを避けるため」で、74.0％でした（プレスリリース別紙⑩）。内部サーバは外部から直接攻撃されることはないと、現状の設定のまま変更したくない意識が働いているものと推測されます。しかし、ウイルスの侵入経路として「USBメモリ等の外部記憶媒体」が34.5％（プレスリリース別紙⑦）もあることから、組織内での感染拡大を防止するためにも適切な管理が求められます。

（6）小規模な組織では内部不正防止のための、定期的なパスワード変更の実施割合が低い
　主な業務システムの一般ユーザアカウントのパスワード設定ルールについて初めて聞きました。パスワードを「システム上で、定期的な変更を必須としている」企業の割合は53.1%でした。従業員規模で分類すると300人以上では62.8％、300人未満では37.4％と大きな差がでました（プレスリリース別紙⑪）。
　パスワードの強度確保に加え、定期的なパスワードの変更をシステム上で実施することは、組織内でのなりすましログインによる情報窃取等の内部不正への対策として一定の効果があります。パスワードの設定ルールの整備や管理は適切に行う必要があります。