セキュリティ問題を引き起こすインシデントの最新実態とは？：セキュリティインシデントに立ち向かう「CSIRT」（2/2 ページ）

[國谷武史，ITmedia]

インシデントによる被害の実態

　IPAが2015年1月に公開した「情報セキュリティ事象被害状況調査」の報告書では、国内企業における2013年度のインシデントの状況や被害などが分かる。同調査は、IPAからのアンケートに回答した1913社の状況を取りまとめたものだ。

　企業にとって、ある意味で“身近な”セキュリティインシデントの1つが「コンピュータウイルス」だろう。ウイルスに「遭遇」（感染や発見）した企業は73.8％あり、感染した企業は16.6％、感染に至らなかった企業は53.7％だった。「遭遇」した企業でのウイルスの侵入経路は、「インターネット接続（65.4％）」「メール（60.6％）」「外部記録媒体（34.5％）」「ダウンロードファイル（28.1％）」の4つが全体の多くを占める。ネットワークやコンピュータに直接接続するデバイスが主な要因となっていることが分かる（グラフ5参照）。

グラフ5：コンピュータウイルスの侵入経路（2012年度調査結果との比較）、出典：IPA

　また、ウイルスに感染した企業（回答317社）の状況は、感染件数が「5件以上」が37.9％と最も多い。「1件」も27.4％あったが、全体的には複数回の感染を経験している企業が大半だ。感染したコンピュータの台数は、PCでは「1〜4台」が49.2％で最多。従業員規模別では300人以上で43.3％、300人未満では67.9％と、小規模な企業でPC感染が割合が高い。ウイルス感染に伴う直接的な被害は、「個人の業務停滞（42.3％）」や「PC単体の停止（31.2％）」が多い。ただし従業員300人未満の企業は、情報の破壊や漏えい、ウイルスメールの発信、システム停止・性能低下を挙げた割合が300人以上の企業よりも高く、小規模な企業ほど被害の内容が広範囲に及ぶ。

グラフ6：ウイルスの直接的な被害（従業員規模別）、出典：IPA

　次にウイルス感染を除いた「サイバー攻撃」は、6割以上が「攻撃を受けなかった」としたものの、「攻撃で被害にあった」と「攻撃を受けたが被害には至らなかった」の合計は19.3％に上り、2012年度から5.5ポイント増加した。「攻撃で被害にあった」企業は2012年度が2.4％、2013年度が4.2％で、1年で2倍近く増えている。「わからない」との回答は、両年度とも17％近くに上っている。

　サイバー攻撃による被害（回答80社）は、「Webサイトの改ざん（不正サイトへの誘導およびウイルスの設置などを含む）」が28.8％、「Webサイトのサービスの機能低下」が22.5％、「Webサイトの停止」が13.8％など、Web関連が目立つ。2012年度比で改ざんの被害は約10ポイント低下したが、機能低下は11．4ポイント、停止は7.1ポイントそれぞれ増加している（グラフ7参照。攻撃の手口（回答368社）は、「DoS攻撃（43.2％）」「標的型攻撃（30.4％）」「脆弱性攻撃（15.8％）」の順に多かった。

グラフ7：サイバー攻撃による被害、出典：IPA

　また、特定の組織を狙う「標的型攻撃」を受けた企業（回答112社）では「発見のみ」が80.4％を占めるが、ウイルス感染や不正アクセス、情報漏えいなどが確認された企業も18.8％あった。攻撃手段では、なりすましメールに添付したウイルスファイルを開かせるものが54.4％、メールに記載したURLで攻撃サイトに誘導するものが40.2％あり、メールを使う手口が主流であることが分かる。標的型攻撃の疑いがあるメールの件数では「10通以上」が全体の半数以上を占め、1000通以上を受信した企業も7.1％あった。