トレンドマイクロは2月1日、企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619名を対象に実施した「企業におけるECサイトのセキュリティ実態調査 2016」の結果を発表した。

「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」と尋ねたところ、49.1%の304名が「受けたことがある」と回答した。

619名を対象に受けた攻撃の手法について尋ねたところ(複数回答)、「DDoS攻撃」と回答した人(24.1%)が一番多かった。これに、「OSの脆弱性を突く攻撃(23.6%)」、「ミドルウェアの脆弱性を突く攻撃(18.6%)」、「ウェブアプリケーションの脆弱性を突く攻撃(12.9%)」と、数多くの企業がECサイトの脆弱性を狙った攻撃を受けている実情が明らかになった。

また、OS、ミドルウェアの脆弱性を狙った攻撃に対して有効な対策である侵入防御システム/侵入検知システム(IPS)の導入について尋ねたところ、2割近い17.1%(106名)が「導入していない」と回答し、導入しているかわからないと回答した20.5%も含めると、37.6%がIPS/ IDS対策について未導入・不明確という状況であった。

ECサイトのOSおよびミドルウェアへの修正プログラムの適用状況では、OSについては17.3%が、ミドルウェアに関しては19.7%が「適用していない」と回答した。企業規模別では、100名以下の企業ではOS、ミドルウェアともに3割以上が修正プログラムを適用していないことが判明し、企業規模が大きく影響しているという調査結果となった。

さらに、過去1年以内にサイバー攻撃を「受けたことがある」と回答した304名のうち、7割を超す227名が、攻撃の結果、実害につながったと回答した。実害の具体的な内容として、42.7%が「顧客のログイン情報(IDとPW)の漏えい」が起きたと回答した。

自社が展開しているECサイトがサイバー攻撃を受けた結果、どのような実害に繋がりましたか 資料:トレンドマイクロ

サイバー攻撃の結果、「実害があった」と回答した227名に総被害金額を聞いたところ、100万円未満が22.5%と一番多い一方で、32.9%が「1000万円以上の実害」と回答した。

サイバー攻撃による実害に対する総被害金額についてお答えください 資料:トレンドマイクロ

ECサイトがサイバー攻撃に遭った結果、多くの企業が多額の被害金額を被るという厳しい状況になっている。