大企業の約半数がソーシャル的な攻撃を経験

社員などの巧妙な手口でだますソーシャルエンジニアリング攻撃を経験した企業が、欧米の大企業の約半分に上ることがチェック・ポイントの調査で分かった。

» 2011年09月28日 13時48分 公開
[ITmedia]

 チェック・ポイント・ソフトウェア・テクノロジーズは9月28日、欧米企業を対象に実施した調査のレポート「The Risk of Social Engineering on Information Security」を公表した。社員5000人以上の大企業の約48%がソーシャルエンジニアリング攻撃を経験していることが分かった。

 ソーシャルエンジニアリング攻撃は、社員などの心理を悪用して巧妙な手口でだます手法。例えば、マルウェア付きのメールを取引先企業名をかたって送り付け、相手をマルウェアに感染させるといったケースがある。

 調査では、最近2年間に25回以上のソーシャルエンジニアリング攻撃の被害に遭ったという企業が多く、インシデント1件当たりの、業務の中断、顧客への補償、収益減少、ブランド力の低下などに伴う損失といった被害額は2万5000ドルから10万ドル以上に及ぶことが明らかになった。

 ソーシャルエンジニアリング攻撃の主要な発生源は、フィッシングメール(47%)が最も多く、以下はソーシャルネットワーキングサイト(39%)、セキュリティが不十分なモバイルデバイス(12%)だった。攻撃を受けやすいのは、新入社員や契約社員、秘書、人事担当、経営幹部で、IT担当も23%に上った。

 回答企業の34%は、ソーシャルエンジニアリング攻撃を回避するための社員向けトレーニング手段やセキュリティポリシーを持っていないとしており、19%は検討中だとした。ソーシャルエンジニアリング攻撃の動機としては、金銭的な利益の追求、知的財産へのアクセス、競合企業に対する優位性の確保、報復が挙げられた。

 調査は7〜8月に、米国、英国、カナダ、ドイツ、オーストラリア、ニュージーランドの850人以上の企業のITセキュリティ管理者を対象に実施した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ