3. 調査結果
3.5. サイバー攻撃(ウイルス以外)について
3.5.1. サイバー攻撃との遭遇経験
サイバー攻撃に遭遇したのは 13.8%であり、その内訳は「サイバー攻撃を受けたが、被 害には至らなかった」が11.4%、「サイバー攻撃で被害にあった」が2.4%である。遭遇率は、
2011年度調査結果と比較すると、3.9ポイント増加した。
従業員規模別にみると、遭遇率は「300人以上企業」で19.7%、「300人未満企業」で8.5%
と、「300人以上企業」の方が多い。
図 3.5-1 サイバー攻撃の遭遇経験
図 3.5-2 サイバー攻撃の遭遇経験(従業員規模別)
3.5.2. サイバー攻撃による被害
サイバー攻撃を受けた企業の被害内容としては、「Webサイトが改ざんされた」が40.0%
と最も多く、次いで「業務サーバのサービスの機能が低下させられた」が17.8%である。
従業員規模別にみると、「300人以上企業」では「Webサイトが改ざんされた」が圧倒的 に多いが、「300人未満企業」では、「Webサイトが改ざんされた」が多い一方で、「Webサ イトのサービスの機能が低下させられた」、「業務サーバのサービスが停止させられた」、「業 務サーバのサービスの機能が低下させられた」がともに 21.4%と多くなっている。但し、
本設問に関しては「300人未満企業」の回答数は14社と少ないことに留意が必要である。
2011年度調査結果と比較すると、「Webサイトが改ざんされた」が26.2ポイント増加し、
「貴社が提供するネットサービスにおいて第三者のなりすましによる不正使用があった」
が11.6ポイント減少している。
図 3.5-3 サイバー攻撃による被害(2011年度調査との比較)
図 3.5-4 サイバー攻撃による被害(従業員規模別)
3.5.3. サイバー攻撃の手口
サイバー攻撃の手口で最も多いのは、「DoS攻撃」の40.0%であり、次いで「標的型攻撃」
の27.3%である。「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が18.5%、
「SQLインジェクション」が8.1%である。
従業員規模別にみると、「300人以上企業」では、「DoS攻撃」が36.4%、「標的型攻撃」
が29.0%、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が21.0%の順
に多い。「300人未満企業」では、「DoS攻撃」が47.6%と群を抜いて高く、「標的型攻撃」
が23.8%、「脆弱性(パッチの未適用)を突かれたことによる不正アクセス」が13.1%であ
る。
図 3.5-5 サイバー攻撃の手口(2011年度調査結果との比較)
図 3.5-6 サイバー攻撃の手口(従業員規模別)
3.5.4. 標的型攻撃による被害状況
標的型攻撃を受けた企業の被害状況をみると、「標的型攻撃が原因と考えられるウイルス 感染、不正アクセス、情報漏洩等が確認された」企業は16.9%であった。
従業員規模別にみると、「300人以上企業」では19.6%、「300人未満企業」では10.0%と なっており、従業員数が多い企業での被害率が約2倍となっている。
図 3.5-7 標的型攻撃による被害状況
図 3.5-8 標的型攻撃による被害状況(従業員規模別)
3.5.5. 標的型攻撃の具体的な手段
標的型攻撃の具体的な手段をみると、「同僚や取引先、サービス事業者からのメールを装 い、添付したウイルスファイルを開かせる」が 50.7%と最も多く、次いで「公的機関から のメールを装い、添付したウイルスファイルを開かせる」が40.8%、「電子メールに表示さ れたURL経由で攻撃用のウェブサイトに誘導される」が39.4%であった。
従業員規模別にみると、「300人以上企業」では「同僚や取引先、サービス事業者からの メールを装い、添付したウイルスファイルを開かせる」が 54.9%と最も多いのに対して、
「300人未満企業」では「電子メールに表示されたURL経由で攻撃用のウェブサイトに誘 導される」が50.0%で最も多くなっている。
図 3.5-9 標的型攻撃の具体的な手段
図 3.5-10 標的型攻撃の具体的な手段(従業員規模別)
3.5.6. 標的型攻撃と思われる電子メールの件数
標的型攻撃を受けた企業が2012年度(1年間)に受けた「標的型攻撃と思われる電子メ ール」の件数をみると、「10~99」が 28.2%と最も多く、次いで「1~9」と「100~999」
が16.9%であった。
従業員規模別にみると、「300人以上企業」では「10~99」が27.5%と最も多く、次いで
「1~9」が23.5%、「100~999」が15.7%である。「300人未満企業」では、それぞれ30.0%、 0%、20.0%である。
図 3.5-11 標的型攻撃と思われる電子メールの件数
図 3.5-12 標的型攻撃と思われる電子メールの件数(従業員規模別)