EC担当者の2人に1人はサイバー攻撃を経験する時代。最も多い実害はID・PWの漏えい
2017/2/7 10:00 
トレンドマイクロがECサイトの構築・運用・セキュリティの実務担当者619人を対象に実施した「企業におけるECサイトのセキュリティ実態調査 2016」によると、約5割の担当者がサイバー攻撃を受けたことがあると回答。その内、7割超で顧客のログイン情報(IDとパスワード)の漏えいなど「実害につながった」と答えた。
サイバー攻撃の経験の有無について
「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」と質問したところ、49.1%の304人が「受けたことがある」と回答。
受けた攻撃の手法(複数回答)は、次の通り。
- DDoS攻撃……24.1%
- OSの脆弱性を突く攻撃……23.6%
- ミドルウェアの脆弱(ぜいじゃく)性を突く攻撃18.6%
- ウェブアプリケーションの脆弱性を突く攻撃……12.9%
サイバー攻撃による実害について
過去1年以内にサイバー攻撃を「受けたことがある」と回答した304人の内、7割を超す227人がサイバー攻撃によって「実害につながった」と回答した。
実害の具体的な内容は次の通り(複数回答)。
- 顧客のログイン情報(IDとPW)の漏えい……42.7%
- 顧客の個人情報(住所、メールアドレス、電話番号など)の漏えい……40.5%
- 顧客のクレジットカード情報(カード番号、カード名義、有効期限など)の漏えい……28.6%
サイバー攻撃に対する防御策について
OS、ミドルウェアの脆弱性を狙った攻撃に対して有効な対策である侵入防御システム(IPS)/侵入検知システム(IDS)の導入についても聞いた。
2割近い17.1%(106人)が「導入していない」と回答。導入しているか分からないと回答した担当者も20.5%にのぼった。合算すると37.6%がIPS/IDS対策について未導入・不明確という状況だった。
脆弱性を狙うサイバー攻撃からECサイトを保護する上で重要とされる修正プログラムの適用に関し、OSについては17.3%、ミドルウェアに関しては19.7%が「適用していない」と回答。企業規模別で見ると、100人以下の企業ではOS、ミドルウェアともに3割以上が修正プログラムを適用していないことが判明している。
トレンドマイクロは今回の調査結果について、次のようにまとめている。
多くのECサイトが脆弱性を狙った攻撃を受け、その結果情報漏えいなどの深刻な実害を被っていることが明らかになりました。一方で、対策がまだまだ十分でない企業が目立ちました。最新の脅威情報に関して理解を深め、それに対抗するための対策を導入することが重要です。また、セキュリティ対策における運用面での負荷に対しては、それらの負荷を低減してくれるセキュリティ対策製品の導入を推奨します。
調査概要
- 調査名:企業におけるECサイトのセキュリティ実態調査 2016
- 実施時期:2016年12月27日~2016年12月28日
- 回答者:企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619人
- 方法:インターネット調査
