企業におけるECサイトのセキュリティ実態調査 2016

~49.1%が、ECサイトへのサイバー攻撃を受けた経験「あり」と回答
攻撃を受けた7割以上が「情報漏洩」などの実害に繋がっている事実が明らかに ~

2017年2月1日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン、東証一部:4704、以下、トレンドマイクロ)は、企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619名を対象に「企業におけるECサイトのセキュリティ実態調査 2016」を2016年12月27日から2016年12月28日まで実施しました。

※ 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

経済産業省の調べによると、2015年の日本国内のBtoC-EC市場規模は、13兆7746億円(対前年比107.6%)(※1)に達し、市場規模は拡大傾向にあります。医薬品のネット販売が開始されるなど、ECサイトは日用品に至るまでの様々な商品を購入する便利な手段として消費者に広く浸透しています。一方で、そのECサイトの脆弱性を狙ったサイバー攻撃も発生しています。本調査では、ECサイトにおけるサイバー攻撃の被害や、運営者によるセキュリティ対策の実態を調査しました。
本調査の調査結果は以下の通りです。

1.49.1%がECサイトに対してサイバー攻撃を「受けたことがある」と回答。
約2割がOSの脆弱性を狙った攻撃を経験

本調査で「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」と尋ねたところ、49.1%の304名が「受けたことがある」と回答したことが判明しました(図1)。619名を対象に受けた攻撃の手法について尋ねたところ(複数回答)、「DDoS攻撃」と回答した人(24.1%)が一番多くいる中で、「OSの脆弱性を突く攻撃(23.6%)」、「ミドルウェアの脆弱性を突く攻撃(18.6%)」、「ウェブアプリケーションの脆弱性を突く攻撃(12.9%)」と、数多くの企業がECサイトの脆弱性を狙った攻撃を受けている実状が明らかになりました。

(図1)「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことはありますか」
(単一回答。対象者: n=619)

2.IPS/ IDSの対策は17.1%が「導入していない」と回答

OS、ミドルウェアの脆弱性を狙った攻撃に対して有効な対策である侵入防御システム/侵入検知システム(IPS:Intrusion Prevention System/IDS:Intrusion Detection System)の導入について尋ねたところ、2割近い17.1%(106名)が「導入していない」と回答しました。導入しているか分からないと回答した20.5%も含めると、37.6%がIPS/ IDS対策について未導入・不明確という状況であることが明らかになりました(図2)。

(図2)「ECサイトに対して、セキュリティ対策製品としてIPS/ IDSは導入していますか」
(単一回答。対象者: n=619)

「導入していない」と回答した106名に導入していない理由(複数回答)を尋ねたところ、45.3%が「自社のセキュリティ対策で十分と考えているため」と回答しました。続いて36.8%が「今までに攻撃を受け被害が発生した経験がないため」と回答していることが分かりました。「コスト削減でIPS/IDSの導入を見送った」と回答した人も17.9%いることが明らかになりました。なお、619名を対象に自社ECサイトへのセキュリティ対策製品の導入を調査したところ、1位にウイルス対策(81.9%)、2位にファイアウォール(67.1%)、そして3位に外部の不正サイトおよびサーバへのアクセスを検知・ブロックする対策(64.2%)の順で導入が進んでいることが分かりました。脆弱性を狙った攻撃に対しては、ウイルス対策だけでは十分ではありません。最新の脅威に対して理解を深め、適切な対策を取ることが大切になります。

3.約2割がOSまたはミドルウェアの修正プログラムの適用を「していない」と回答

修正プログラムの適用は、脆弱性を悪用するサイバー攻撃からECサイトを保護する上でもとても重要になってきます。ECサイトのOSおよびミドルウェアへの修正プログラムの適用状況を調査したところ、OSについては17.3%(図3-a)が、ミドルウェアに関しては19.7%(図3-b)が「適用していない」と回答していることが明らかになりました。本調査からも明らかなように、多くのECサイトが脆弱性を狙った攻撃に晒されているにも関わらず、一方で多くのECサイトが修正プログラムが適用されるまでの間に、脆弱性を突いた攻撃の脅威に晒されている状況が明らかになりました。
企業規模別に見ると、100名以下の企業ではOS、ミドルウェアともに3割以上が修正プログラムを適用していないことが判明し、企業規模が大きく影響しているという調査結果となりました。

(図3-a)「(OS)ECサイトに対して、修正プログラムが公開されてから適用するまでの期間を教えてください」(単一回答。対象者: n=619)

(図3-b)「(ミドルウェア)ECサイトに対して、修正プログラムが公開されてから適用するまでの期間を教えてください」(単一回答。対象者: n=619)

修正プログラムの適用に関する課題について質問したところ(対象:619名、複数回答)、「検証に時間が掛かり、適用するまでの間に攻撃に晒されてしまう」の回答者が最も多く(35.7%)、次いで「修正プログラムの緊急度が判断できない(34.1%)」、「どのサーバに、どの修正プログラムを適用すべきかがわからない(27.0%)」といった、修正プログラムの運用における煩雑さに課題を抱えている企業の姿が浮き彫りとなりました。運用者への負荷が少なく、効率良く、かつ適切な修正プログラムの運用を、ECサイト運営者が求めていることが分かりました。

4.74.7%がサイバー攻撃の結果、「実害に繋がった」と回答。実害で一番多かったのは、「顧客のログイン情報(IDとPW)の漏えい」(42.7%)

過去1年以内にサイバー攻撃を「受けたことがある」と回答した304名のうち、7割を超す227名が、その攻撃の結果、実害に繋がったと回答したことが明らかになりました。実害の具体的な内容については、4割を超える42.7%が「顧客のログイン情報(IDとPW)の漏えい」が起きたと回答しました(図4:複数回答)。その他にも、「顧客の個人情報(住所、メールアドレス、電話番号など)の漏えい(40.5%)」や、「顧客のクレジットカード情報(カード番号、カード名義、有効期限など)の漏えい(28.6%)」など、ざまざまな機密情報がECサイトから漏洩していることが分かりました。

(図4)「自社が展開しているECサイトがサイバー攻撃を受けた結果、どのような実害に繋がりましたか」
(複数回答。対象者: n=227)

5.サイバー攻撃の実害に対する総被害金額は、32.9%が1000万円以上と回答

サイバー攻撃の結果、「実害があった」と回答した227名を対象にその総被害金額について調査しました。100万円未満が22.5%と一番多い一方で、32.9%が「1000万円以上の実害」と回答していることが分かりました。ECサイトがサイバー攻撃に遭った結果、多くの企業が多額の被害金額を被るという厳しい状況が明らかになりました。

(図5)「サイバー攻撃による実害に対する総被害金額についてお答えください」(単一回答。対象者: n=227)

※ 被害金額とは、影響のあったシステムの復旧、システム停止中の業務効率低下、売上機会の損失などの直接被害に対応した費用に加え、再発防止策構築のための費用や、イメージ損傷、信頼度下落、株価下落、法的補償など 二次的な被害を対応した費用も含むトータルの金額を指します。

今回の調査から、多くのECサイトが脆弱性を狙った攻撃を受け、その結果情報漏洩などの深刻な実害を被っていることが明らかになりました。一方で、対策がまだまだ十分でない企業が目立ちました。最新の脅威情報に関して理解を深め、それに対抗するための対策を導入することが重要です。また、セキュリティ対策における運用面での負荷に対しては、それらの負荷を低減してくれるセキュリティ対策製品の導入を推奨します。 
脆弱性を突くサイバー攻撃からECサイトを保護するには、修正プログラムの適用が重要になってきますが、それらの運用の負担を低減する策として、仮想パッチと呼ばれるIPS/ IDS機能を搭載したセキュリティ対策製品を導入することが有効です。仮想パッチは、ベンダーが修正プログラムを提供する前に漸次的に脆弱性ルールによって脆弱性を突いた攻撃からサーバを保護します。サーバを停止することなく導入できることや、修正プログラムの緊急度を知らせてくれる機能、さらには複数あるサーバのうち、どのサーバにどの修正プログラムを適用するべきかなどを知らせてくれる機能などを搭載するため、運用の負荷を抑え、効率的にセキュリティを強化することが可能です。

■調査の概要
調査名:企業におけるECサイトのセキュリティ実態調査 2016
実施時期:2016年12月27日~2016年12月28日
回答者:企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619名
手法:インターネット調査

(※1) 出典:経済産業省「平成 27 年度我が国経済社会の情報化・サービス化に係る基盤 整備(電子商取引に関する市場調査)」

※ 変更履歴:2017年2月10日 攻撃手法に関する設問の対象者が誤っていた為、修正しました。
<修正前>
攻撃を受けたことがある304名を対象に、受けた攻撃の手法について尋ねたところ(複数回答)

<修正後>
619名を対象に受けた攻撃の手法について尋ねたところ(複数回答)

※ TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。