「6割の企業はサイバー攻撃受けず」はホントか？

IPAが国内企業に実施した調査で約62％が「サイバー攻撃を受けなかった」と答えた。しかし、回答企業が実態を把握できているかは不透明だ。

[國谷武史，ITmedia]

　情報処理推進機構（IPA）が1月15日に発表した「情報セキュリティ事象被害状況調査」によると、調査に回答した1913社の62.3％が「サイバー攻撃を全く受けなかった」とした。一方、「サイバー攻撃を受けた」企業は前年度から5.5％増えており、企業がサイバー攻撃に気が付いていない実態がありそうだ。

　この調査は企業のセキュリティ実態を把握する目的で1989年度から実施され、25回目となる。今回は2013年度の動向について1万3000社を対象にアンケートを行った。

　「サイバー攻撃を受けた」とした企業のうち、実際の被害を伴ったケースは2012年度の2.4％から2013年度は4.2％に増加し、被害を伴わなかったケースも11.4％から15.1％に増えた。「サイバー攻撃を全く受けなかった」とした企業は67.1％から62.1％に、「わからない」とした企業は17.0％から17.6％にやや低下した。

サイバー攻撃の遭遇状況

　「サイバー攻撃を受けた」とする企業が増えた理由についてIPA技術本部セキュリティセンター 情報セキュリティ分析ラボラトリーの花村憲一主任は、「サイバー攻撃に対する意識の高まりから、実際に攻撃を認識するようになったのではないか」と説明した。

　約6割の企業が「攻撃を受けていない」とする一番の理由は、セキュリティ対策システムで攻撃が検知されなかったとことだという。だが、「本当に攻撃を受けなかったのかを確認することは難しい」（花村氏）といい、実際にはサイバー攻撃を受けながら、その事実に気が付いていない可能性がある。攻撃を受けた可能性を含めて判断できないとした企業が17％近くあり、攻撃実態の把握がいかに難しいかがうかがえる。

　サイバー攻撃による被害は、Webサイトの改ざんやサービス停止など、Webに関連する割合が高い。閲覧者をマルウェア感染サイトに誘導する目的で改ざんされたというケースは11.3％、改ざんされたWebサイトでマルウェアに感染させられるケースも5.0％あった。

サイバー攻撃による被害（Web改ざんに関しては今回調査で回答の選択肢を変更しているため、2012年度の結果と一部異なる）

　特定の企業や組織を狙う「標的型サイバー攻撃」を受けたのは112社あり、21社（2012年度は12社）が情報漏えいなどの被害を受けたと回答した。標的型サイバー攻撃の手口では「なりすましメール」が使われる場合が多いといい、同僚や取引先などになりすましてマルウェアを添付したメールを送り付けるケースが54.4％（61社）、メールに記載したリンクから不正サイトに誘導させるケースが40.2％（45社）となる。

標的型メールによる手口の内訳

　また、仕事関係など情報収集を目的に訪れるWebサイトを改ざんしてマルウェアに感染させる「水飲み場型攻撃」を受けた企業も9.8％（11社）に上った。

　マルウェアの侵入経路ではメールとWebサイトがともに6割以上を占め、USBメモリなどの外部記録媒体を経由するケースも3割以上を占めていた。