Comments
Description
Transcript
「情報セキュリティに関する脅威に対する意識調査(2007 年度第 2 回
プレスリリース 2008 年 4 月 15 日 独立行政法人 情報処理推進機構 「情報セキュリティに関する脅威に対する意識調査(2007 年度第 2 回)」 の報告書公開について 独 立 行 政 法 人 情 報 処 理 推 進 機 構 ( 略 称 : IPA、 理 事 長 : 西 垣 浩 司 ) は 、 イ ン タ ー ネ ッ ト 利 用 者 を 対 象 と し た 「 情 報 セ キ ュ リ テ ィ に 関 す る 脅 威 に 対 す る 意 識 調 査 ( 2007 年 度 第 2 回 )」 を 実 施 し 、 報 告 書 を 公 開 し ま し た 。 1. 調 査 概 要 ( 1) 調 査 方 法 : ウ ェ ブ ア ン ケ ー ト ( 2) 調 査 対 象 : 15 歳 ( 高 校 生 ) 以 上 の PC イ ン タ ー ネ ッ ト 利 用 者 ( 3) 調 査 期 間 : 2008 年 1 月 18 日 ∼ 1 月 19 日 ( 4) 有 効 回 答 数 : 5,148 名 2. 調 査 結 果 概 要 (1)情報セキュリティに関する事象の理解度 コンピュータ・ウイルスやフィッシング詐欺、ワンクリック不正請求等の情報セキュリティに関する 事象について、言葉を聞いたことがあるか、内容まで知っているか、正しく理解しているかについて調 査しました。 ※ 理解しているかについては事象に関する○×クイズにより判定。設問は報告書を参照。 情報セキュリティに関する事象の理解度 [回答者全体/2008年1月調査] (N=5,148) 0% 20% 40% 60% 80% 61.9 コンピュータ・ウイルス 23.6 46.6 スパムメール 9.5 100% 13.1 26.2 情報セキュリティに関する事象の理解度 [回答者全体/2007年3月調査] (N=5,316) 1.3 0% 20% コン ピ ュ ー タ・ウ イ ルス 11.6 17.9 19.3 9.0 12.2 30.0 2.9 6.3 セキュリティ対策ソフトの押し売り行為 13.7 理解(全問正解) 理解不足(不正解あり) 20.6 36.9 22.3 20.1 25.0 35.0 27.9 12.1 31.0 11.3 18.7 10.1 2.6 7.5 標的型(スピア型)攻撃 4.0 2.5 5.6 13.5 25.7 24.0 27.1 30.6 81.8 66.2 ワンクリック不正請求 8.6 ボ ット 15.1 ワ ン クリッ ク不 正 請求 76.2 88.0 認知(事象を知らない) 3.4 64.5 21.0 11.1 31.7 35.4 理 解 (全 問 正 解) 理 解 不 足(不 正 解 あ り) 認 知(事 象 を 知 らない ) 22.1 未認知(言葉を知らない) 図 1 に示すように、脅威に対する認知・理解状況を尋ねたところ、最も理解度が高かったのは、「ワ ンクリック不正請求」で、全体の 66.2%が事象を正しく理解していました。次いで、「コンピュータ・ ウイルス」61.9%、「フィッシング詐欺」50.8%となりました。 2007 年 3 月に実施した調査と比較すると、ボットの理解度が 3.4%から 9.0%へと向上しました。ま た、ワンクリック不正請求では、35.4%から 66.2%へと理解度が向上している状況が見られました。 ただし、 「標的型(スピア型)攻撃1」については、約 9 割の人が言葉を知らないとの回答であり、近 年被害が深刻化している脅威に対して、認知が進んでいない状況が判明しました。 特定の組織や個人を狙って行われる攻撃 1 10.7 未 認知 (言 葉を 知 らない ) 図 1:情報セキュリティに関する事象の理解度 1 2.2 12.0 スパ イ ウ ェ ア ボット 11.7 56.7 36.7 フィッ シン グ詐欺 39.2 100% 35.2 セキ ュ リティホー ル(脆 弱 性 ) スパイウェア 80% 17.7 21.2 50.8 フィッシング詐欺 60% 29.5 スパム メ ー ル 32.0 セキュリティホール(脆弱性) 40% (2)情報セキュリティに関する被害状況 情報セキュリティに関する被害状況について、各項目の被害を受けたことがあるかどうかを質問しま した。その結果、「全く知らない差出人から大量にメールが送られてきた」が最も多く、31.1%(前回 24.5%)が経験しているとの回答となり、迷惑メールが大量に発信されている状況は継続しているもの と推測します。 次いで多かった回答は「コンピュータ・ウイルスに感染した(感染後にセキュリティ対策ソフトが検 出したケースを含む)」の 15.4%(前回 17.3%)であり、ウイルスに遭遇するケースも依然として多い 状況です。 情報セキュリティに関する被害状況 [回答者全体/2008年1月調査] 全体(N=5148) 0% 20% 全く知らない差出人から大量にメールが送られて きた 全体(N=5160) 60% 8.3 メールに記載されたURLをクリックしたら、個人情 報の入力を求めるウェブページが表示された 5.1 8.7 覚えのない料金の支払いを要求するメールが送 られてきた 6.3 メールに記載されたURLをクリックしたら、個人情 報の入力を求めるウェブページが表示された 5.6 個人情報流出の被害にあったことがある 3.6 4.5 1.6 1.9 知らない間に自分のパソコンから他者へメールを 送信していた 1.0 知らない間に自分のパソコンから他者へメールを 送信していた 1.2 個人情報を流出させてしまったことがある 0.5 個人情報を流出させてしまったことがある 0.5 知らない間に銀行口座からお金が引き出された 0.2 知らない間に銀行口座からお金が引き出された 0.4 上記以外の被害 0.9 上記以外の被害 0.7 被害にあったことはない/わからない 54.5 被害にあったことはない/わからない 図 2:情報セキュリティに関する被害状況 ①ワンクリック不正請求に関連する被害 ワンクリック不正請求に関連し、 「HP 閲覧中に、契約した覚えのない料金の支払いを要求するメッセ ージが表示された」や「覚えのない料金の支払いを要求するメールが送られてきた」といった経験があ る人は、それぞれ 10.6%(前回 8.7%)、8.3%(前回 6.3%)と 2007 年 7 月調査時と比較すると微増と なりました。 これらの支払いを求めるメッセージやメールに遭遇したという経験者は、754 名と前回調査時の 633 名より増加しました。そのうち、実際に料金の支払いを行った人は 20 名(前回 24 名)でした。わずか ではありますが、金銭的被害に遭ったという割合は前回調査時の 3.8%から 2.7%へと減少しました。 2 60% 17.3 パソコンのシステムやファイルが書き換えられた り、削除された パソコンのシステムやファイルが書き換えられた り、削除された 40% 24.5 HP閲覧中に、契約した覚えのない料金の支払を 要求するメッセージが表示された 10.6 覚えのない料金の支払いを要求するメールが送 られてきた 20% コンピュータ・ウイルスに感染した(感染後にセ キュリティ対策ソフトが検出したケースを含む) 15.4 HP閲覧中に、契約した覚えのない料金の支払を 要求するメッセージが表示された 0% 全く知らない差出人から大量にメールが送られて きた 31.1 コンピュータ・ウイルスに感染した(感染後にセ キュリティ対策ソフトが検出したケースを含む) 個人情報流出の被害にあったことがある 40% 情報セキュリティに関する被害状況 [回答者全体/2007年7月調査] 57.8 情報セキュリティに関する被害状況(支払経験の有無) [料金支払い要求メッセージ表示経験者 及び 支払い要求メール受信経験者](実数) 「HP閲覧中に、契約した覚えのない 料金の支払いを要求するメッセージが 表示された」または、 「覚えのない料金の支払いを要求する メールが送られてきた」経験があると お答えの方にお尋ねします。 そのようなメッセージやメールを受け 取った際に、実際に支払いをされた 経験はありますか。 2008年1月調査 N % 支払いを行った経験がある 20 2.7% 支払いを行った経験はない 734 97.3% 全体 754 100.0% 表 1:支払経験の有無 2007年7月調査 N % 24 3.8% 609 96.2% 633 100.0% ②セキュリティ対策ソフトの押し売り行為に関する被害 セキュリティ対策ソフトの押し売り行為について、インターネット利用中に「貴方のパソコンがウイ ルスに感染しています」といったメッセージが表示され、セキュリティ対策ソフトのダウンロードを勧 められたことがあるかを質問しました。 その結果、 「メッセージが表示された経験がある」と回答した方は、全体の 32.5%(前回 30.7%)と なりました(図 3 参照)。そのうち、 「ダウンロード及び購入した」との回答は、12.8%と、前回調査時 の 19.0%から減少しました(図 4 参照)。金銭的被害やパソコンの使用に不具合がでるといった実害を 被るケースは減少しており、本脅威への対策が浸透したものと推測します。 セキュリティ対策ソフトの押し売り行為遭遇経験 [回答者全体/2007年7月調査] セキュリティ対策ソフトの押し売り行為遭遇経験 [回答者全体/2008年1月調査] 0% 全体(N=5148) 4.2 20% 40% 28.3 60% 80% 67.5 100% 全体 (N=5160) 0% 20% 5.8 40% 24.9 60% 80% 100% 69.3 メッセージが表示されたことがあり、その対策ソフトをダウンロードしたり、購入したことがある メッセージが表示されたことがあり、その対策ソフトをダウンロードしたり、購入したことがある メッセージが表示されたことはあるが、その対策ソフトをダウンロードしたり、購入したことはない メッセージが表示されたことはあるが、その対策ソフトをダウンロードしたり、購入したことはない メッセージが表示されたことはない メッセージが表示されたことはない 図 3:セキュリティ対策ソフトの押し売り行為遭遇経験 セキュリティ対策ソフトの押し売り行為被害経験 [メッセージ表示経験者/2008年1月調査] セキュリティ対策ソフトの押し売り行為被害経験 [メッセージ表示経験者/2007年7月調査] (n=1,584) (n=1,672) 12.8% 87.2% メッセージが表示されたこ とがあり、その対策ソフトを ダウンロードしたり、購入し たことがある。 メッセージが表示されたこ とはあるが、その対策ソフ トをダウンロードしたり、購 入したことはない。 19.0% 81.0% 図 4:セキュリティ対策ソフトの押し売り行為被害経験 3 メッセージが表示されたこ とがあり、その対策ソフトを ダウンロードしたり、購入し たことがある。 メッセージが表示されたこ とはあるが、その対策ソフ トをダウンロードしたり、購 入したことはない。 (3)情報セキュリティ対策の実施状況 セキュリティパッチの更新やセキュリティ対策ソフトの導入・活用など、情報セキュリティ対策の実 施状況について尋ねました。 情報セキュリティ対策の実施状況 [回答者全体/2008年1月調査] 0% (N=5,148) 20% 40% 60% 80% 67.3 Microsoft Update等によるセキュリティパッチの更新 情報セキュリティ対策の実施状況 [回答者全体/2007年7月調査] 100% 14.6 (N=5,160) 14.1 4.0 74.3 セキュリティ対策ソフトの導入・活用 20.1 パスワードの定期的な変更 5.5 13.3 6.9 19.5 55.4 5.0 7.6 4.9 84.6 怪しいメール・添付ファイルの削除 2.9 電子メールの暗号化ソフト等の利用 16.0 11.2 59.5 13.2 パソコンの重要なデータのバックアップ 43.6 18.5 31.1 6.8 不要になった自宅パソコンのデータ消去 45.0 16.5 30.5 8.0 実施している 実施していないが今後はする予定 実施していない わからない 図 5:情報セキュリティ対策の実施状況 最も実施率が高かったのは、 「怪しいメール・添付ファイルの削除」で 84.6%でした。次いで、 「セキ ュリティ対策ソフトの導入・活用」74.3%、「Microsoft Update 等によるセキュリティパッチの更新」 67.3%となりました。 2007 年 7 月の調査結果との比較では、各対策項目とも概ね似通った実施率となっています。 ただし、「電子メールの暗号化ソフト等の利用」については、29.4%から 16.0%に実施率が減少して います。これは、前回調査の実施率がかなり高い数値を示しており、「電子メールの暗号化」を誤解し ている回答者が多数いるのではないかとの懸念があったため、今回は、具体的に何を利用しているかを 尋ねました。その結果、誤解に気付いて、実状にあった回答をされたものと推測します。 具体的に、暗号化するために、何を利用しているかを尋ねた結果を以下に示します。 利用している電子メールの暗号化ソフト等 [電子メールの暗号化ソフト等の利用者/2008年1月調査] 0% 全体(N=825) 20% 40% 60% SSL暗号化に対応したWebメールを利用 70.4 Word・ExcelなどのファイルやZIPファイルに パスワードを設定して添付ファイルで送信 20.5 その他暗号化ソフト製品を利用 12.9 PGPを利用 10.2 S/MIMEを利用 その他 80% 6.8 2.1 図 6:利用している電子メールの暗号化ソフト等 4 最も多いのは「SSL2暗号化に対応した Web メールを利用」で、70.4%に上っています。回答者に「電 子メールの暗号化」を想起させる多くのケースは、ソフトの利用よりも SSL 暗号化の利用であることが うかがえます。その他、 「Word・Excel などのファイル・ZIP ファイルのパスワード設定」を行い、メー ル添付することを「電子メールの暗号化」と捉える人が 2 割に上っています。 なお、「PGP3」、「S/MIME4」、「その他暗号化ソフト製品」等、暗号化ソフトの利用者はそれぞれ 1 割前後との結果になりました。 「 情 報 セ キ ュ リ テ ィ に 関 す る 脅 威 に 対 す る 意 識 調 査( 2007 年 度 第 2 回 )」の 報 告 書 は 、 以 下 の URL に て 公 開 し て い ま す 。 http://www.ipa.go.jp/sec urity/fy19/reports/ishiki02/ (参考) 「 情 報 セ キ ュ リ テ ィ に 関 す る 脅 威 に 対 す る 意 識 調 査 ( 2007 年 度 第 1 回 )」 http://www.ipa.go.jp/security/fy19/reports/ishiki01/ 「 情 報 セ キ ュ リ テ ィ に 関 す る 新 た な 脅 威 に 対 す る 意 識 調 査 ( 2006 年 度 第 2 回 )」 http://www.ipa.go.jp/sec urity/fy18/reports/ishiki02/ 「 情 報 セ キ ュ リ テ ィ に 関 す る 新 た な 脅 威 に 対 す る 意 識 調 査 ( 2006 年 度 第 1 回 )」 http://www.ipa.go.jp/sec urity/fy18/reports/ishiki01/ 「 情 報 セ キ ュ リ テ ィ に 関 す る 新 た な 脅 威 に 対 す る 意 識 調 査 ( 2005 年 度 )」 http://www.ipa.go.jp/sec urity/fy17/reports/ishiki/ ■本内容に関するお問い合わせ先 独立行政法人 情報処理推進機構 セキュリティセンター 花村/木邑 Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected] ■報道関係からのお問い合わせ先 独立行政法人 情報処理推進機構 戦略企画部広報グループ 横山 Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected] 2 3 4 SSL(Secure Socket Layer):インターネット上で情報を暗号化して送受信する方式 PGP(Pretty Good Privacy):暗号化ソフトウェア S/MIME(Secure Multipurpose Internet Mail Extensions):電子メールの暗号化方式の標準 5