「2014年は日本の組織の約7割がセキュリティ事故を経験し、うち半分で実害が発生した。9割の組織には未知のウイルスが入り込んでいて、遠隔操作ツールが確認された割合は1年で5倍に増加している」。情報セキュリティ大手、トレンドマイクロの大三川彰彦取締役副社長日本地域担当グローバルコンシューマビジネス担当は2015年7月9日、東京・千代田のホテルニューオータニで開催中の「IT Japan 2015」(日経BP社主催、10日まで)において、「狙われるのは『人』 情報保護に向け経営層やシステム部門が知るべきこと」と題して講演した(写真1)。
大三川副社長は冒頭、同社が実施した各種調査結果を引用し、サイバー攻撃やセキュリティ対策などの実態を整理した。「標的型メールを含むスパムメールが急増している。狙うのは日本、しかも現場の人だ。攻撃者はいかに容易に開かせるかに知恵を絞っている」。同社が検知したサイバー攻撃全体に占めるスパムメールの割合は2014年第1四半期(1~3月)は16%だったが、第4四半期(9~12月)には44%に増え、2015年第1四半期は53%に達した。攻撃者が標的型メールで組織に侵入した後で感染PCなどを操るための遠隔操作ツールが顧客内部から見つかった割合は1年で5倍に増加していたという。
標的型攻撃を認識できない実態
同社が今年3月に経営者やCIO(最高情報責任者)などを含む1340人を対象に調べたところ、実に日本の企業や団体の3社に2社、66.6%がセキュリティ事故を経験していると認識していた。事故のトップ5はクライアント端末のウイルス感染、なりすましメールの受信、USBなどのリムーバルメディアの紛失・盗難、不正サイトへのアクセス、内部関係者による不正な情報漏洩だったという。
そしてセキュリティ事故を経験した66%の組織の2社に1社が社員情報の漏洩、データの破壊・損失といった実害を経験した。大三川副社長が着目したのは「把握できていない」と回答した3.7%と「実害がない」と答えた43.9%という数字だ。「(実害が発生したのは)本当に半分の方だけですか?実は我々の経験では9割近くの企業には未知の脅威が潜伏している。実際にはそれだけ潜伏しているんだけれども、気が付いているのが3社に2社で、そして(そのうちの)2社に1社は(実害に)気が付いていないだけではないのでしょうか」。
それを裏付けるのが公表されたセキュリティ事故という。同社が調べたところ、人を狙ったなりすましメールから組織内ネットワークへの侵入を許し、遠隔操作によって情報を搾取されてしまった可能性がある事案は2014年は5件だったが、2015年は7月6日時点で既に14件あるという(写真2)。「問題が分かったのは全て外部からの指摘です。自分たちでは気が付いていないのです。これが現実です」。この14件以外に公開サーバーのWeb改ざんやマルウエア感染を含めると7月6日時点で52件公表されているという。
