図1 ソーシャルエンジニアリング攻撃を受けた経験の有無(チェック・ポイント・ソフトウェア・テクノロジーズの発表資料から引用。以下同じ)
図1 ソーシャルエンジニアリング攻撃を受けた経験の有無(チェック・ポイント・ソフトウェア・テクノロジーズの発表資料から引用。以下同じ)
[画像のクリックで拡大表示]
図2 ソーシャルエンジニアリング攻撃の頻度
図2 ソーシャルエンジニアリング攻撃の頻度
[画像のクリックで拡大表示]
図3 ソーシャルエンジニアリング攻撃1件当たりの平均的な被害額
図3 ソーシャルエンジニアリング攻撃1件当たりの平均的な被害額
[画像のクリックで拡大表示]

 セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズは2011年9月28日、ユーザーをだまして被害を与える攻撃「ソーシャルエンジニアリング攻撃」に関する調査結果を発表した。調査対象となった欧米企業の4割以上が、同攻撃を受けたことがあるという。

 ソーシャルエンジニアリング攻撃とは、ユーザーをだまして情報を盗んだり、ウイルス(悪質なプログラム)を実行させたりする攻撃のこと。例えば、標的とした企業の社員に対して、上司をかたって電話をかけて情報を聞き出すことが該当する。同僚や取引先をかたった偽メールにウイルスを添付して、感染させることも同攻撃の一例だ。

 チェック・ポイントでは、米国、カナダ、英国、ドイツ、オーストラリア、ニュージーランドの企業のセキュリティ管理者853人に対して、ソーシャルエンジニアリング攻撃に関するアンケート調査を実施。その結果を今回発表した。アンケート調査の実施期間は2011年7月から8月。

 それによると、ソーシャルエンジニアリング攻撃を受けたことがある企業は、全体の43%(図1)。社員数が5千人を超える大企業に限定すると、48%に上るという。

 調査では、同攻撃を受けたことを確認し、なおかつ攻撃の詳細を調査したセキュリティ管理者322人に、追加の質問をした。まず、過去2年間に同攻撃を受けた回数を聞いたところ、68%が5回以上受けたと回答。回答者の12%は50回以上受けたとしている(図2)。

 攻撃1件当たりの被害額としては、38%が「1万ドル未満」と回答した一方で、「10万ドル超」とした回答者も19%いた(図3)。