-日本と海外の脅威動向を分析した「2014年間セキュリティラウンドアップ」を公開-

企業経営を脅かすセキュリティ事故が多発

~CDNやドメイン乗っ取りなど、「信用あるサービス」を悪用した攻撃の被害が国内初報告~

2015年2月25日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、日本国内および海外のセキュリティ動向を分析した報告書「2014年間セキュリティラウンドアップ:企業経営を脅かすサイバー攻撃の横行」を本日公開したことをお知らせします。

 

2014年間セキュリティラウンドアップのサマリ

1.企業経営を脅かすセキュリティ事故が過去に無い頻度で発生
セキュリティ事故がきっかけとなり、「経営層の辞任」や「企業活動の停止」など甚大な二次被害につながった事例が報告されるのは、2013年までは年に1件程度でした。しかし、2014年は社内に保有する情報の漏えいという直接的な被害にとどまらず、事業活動の停止に伴う売上の低下、事後処理に伴う追加コストの発生や顧客からの訴訟に発展している事例など、その後の企業の事業活動に影響を及ぼすセキュリティ事故が多数報告されています(表)。
また、特に企業を狙ったサイバー攻撃の中では、2014年は「POS脅威元年」とも言えるほど、POS(Point of Sale)システムを狙った不正プログラムの検出数が増加しました。全世界における検出台数は対前年比約22倍になっています(グラフ)。
サイバー犯罪者や情報持ち出しを行う内部犯行者は、一般企業の持つ顧客情報など金銭的価値がある情報を狙っています。今後も業種や企業規模問わず、様々な企業でキュリティ事故が発生する危険性があります。企業側は、セキュリティ事故は必ず起きるという認識の下、社内のネットワークや端末の異常を検知し、被害を最小化するための対策を検討することが必要です。そのためには、自社の情報資産の棚卸を行い、自社システムの平時の状態を把握しておくことが不可欠です。

◆表:甚大な二次被害が確認されているセキュリティ事故の事例(2014年)(※1)

公表/報道日時 業種 従業員数 一次的被害 二次的被害、対策費等
2014年6月
米国
IT
不明
クラウド上の顧客データが消滅
企業活動の停止
2014年6月
米国
飲食
約26,000名
33支店で顧客のクレジットカード番号が漏えい
業務効率の著しい低下 (決済時に、旧システム併用)
2014年7月
日本
教育
約3,000名
約2,900万件の顧客情報が漏えい
決算上の多大な損益 (対策費260億円を計上)
2014年7月
日本
製造・小売
約500名
約600件のクレジットカード情報と約6万件の顧客情報が漏えい
企業活動の停止 (オンライン通販事業停止)
2014年8月
日本
ホビーショップ
約80名
約900件のクレジットカード情報が漏えい
業務効率の著しい低下 (クレジットカード決済停止)
2014年9月
米国
日用品小売
約300,000名
約5,600万件のカード情報と約5,300万件のメールアドレス漏えいの可能性
訴訟44件発生
2014年12月
米国
映画製作・配給
約180名
社内の機密情報が漏えい
決算上の多大な損益 (外部調査期間の試算:漏えい対策コスト1億ドル)

※1 公表または報道された情報をもとに、セキュリティ事故がきっかけとなり「経営層の辞任」、「企業活動の停止」、「業務効率の著しい低下」、「顧客・取引先などによる訴訟問題」、「決算上の多大な損益」につながった事例をトレンドマイクロにて集計。

◆グラフ:POSシステムを標的にする不正プログラムの検出台数(全世界)(※2)

※2 トレンドマイクロにて調査(2015年2月)。

2.インターネット上の「信用あるサービス」を悪用する攻撃が多数発生
2014年は、CDN(コンテンツデリバリネットワーク)の侵害や、他社のドメインを不正に乗っ取る「ドメインハイジャック」による複数の国内著名サイトでの被害が国内で初めて公になりました。また正規ソフトウェアのアップデート機能を悪用したサイバー攻撃による被害が国内で初めて報告されています。これらに加えて、企業のWebサイトの改ざんやネット広告を配信するサービスが悪用され、様々なWebサイト上に不正な広告が表示される事例も多発しています。インターネット上で提供される、サービス・インフラの「信頼性」を悪用する攻撃がますます盛んになっています。
こうした攻撃によって、結果的にオンラインバンキングの不正取引を狙う不正プログラムの感染やフィシング詐欺サイトへ誘導される事例が確認されています。企業にとっては、自社のサービス利用者が被害に遭う危険性があり、結果的に企業のブランドイメージの低下や事業活動の継続が難しい状況となる可能性があります。企業の担当者は、自社のWebサイトで利用する外部サービス、システムの提供元でどのようなセキュリティ対策を実施しているかを確認する必要があります。

3.多くの企業の公開サーバに影響する深刻な脆弱性の発覚
2014年は、OpenSSLの脆弱性「Heartbleed」やLinux などで使用されるプログラムbashの脆弱性「Shellshock」など、多くの企業の公開サーバに影響するオープンソースソフトウェアの深刻な脆弱性が多数確認されました。「Heartbleed」、「Shellshock」はともに長期にわたり潜在していた脆弱性であり、発覚直後に脆弱性を狙う攻撃が実際に確認されました。
全世界に存在するWebサーバの67.7%がLinuxを含むUnix環境で構成されている中(※3)、多くの企業でオープンソースソフトウェアが活用されています。こうしたオープンソースソフトウェアの脆弱性は、事業活動に甚大な被害を及ぼすサイバー攻撃につながる可能性があります。企業としては今後、MicrosoftやAdobeといった自社で使用している著名企業のソフトウェアに加えて、自社で使用しているオープンソースソフトウェアの脆弱性管理についても対策を検討する必要があります。
※3 W3TECHS.comより、2015年1月29日時点の数値を引用。

※ TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。