2014年の不正アクセス届出件数は前年比約28%減の120件、そのうち被害があった件数は前年比約35%減の102件と全体の約85%を占めた。また、実際に被害があった届出のうち、原因の内訳はIDやパスワード管理の不備が17件、古いバージョン使用やパッチ未導入が11件、設定不備が10件などだった。
2014年 不正アクセス被害原因
2014年はOpenSSLやbashの脆弱性などが指摘された。対象となる製品やサービスが多く、影響が広範囲に渡る脅威であり、サーバ管理者には迅速な対応が求められた。一部では適切な対策できなかったため、これらの脆弱性を悪用されてしまう被害もあったが、対象や影響の大きさから脆弱性の存在が広く知られ、対策が進められたと総括した。結果として脆弱性の対策を行ったサーバが増えたことが、ウェブサイト改ざん届出が減少した理由の1つと説明している。
一方で、2013年には届出のなかったパスワードリスト攻撃の届出が2014年は4件あったという。報道された情報によるとパスワードリスト攻撃が原因と考えられる不正ログイン被害は、2013年より継続的に発生しており、2014年も収束の兆しがなかったことから2014年9月にIPAから被害防止に向け、注意喚起した。
また、パスワードリスト攻撃と同様に継続的に発生しているのが、メールアカウントが不正使用され、スパムメール送信の踏み台とされてしまう被害だ。2013年は27件の届出があり、2014年は20件の届出があったという。
ほとんどの被害でメールアカウント不正使用の原因は特定されていないが、当該アカウントのパスワード変更により被害の再発を防げたことから、推測が容易なパスワードの利用、パスワードの使い回し、フィッシングサイトへの入力などが原因であったと指摘している。
パスワードリスト攻撃の被害、スパムメール送信の踏み台となる被害、いずれも、ウェブサイト改ざん被害のようにサーバの脆弱性が起因するものではないため、サーバの脆弱性を解消していても被害を防ぐことはできないと指摘した。
これらの被害の防止については、ユーザーは“パスワードの使いまわしをしない”、“二段階認証などのセキュリティオプションを積極的に採用する”など、適切なアカウント管理とリスクへの対策を推奨した。
システム管理者向けの対策として、“ログイン通知やログイン履歴の機能を設ける”、“外部からメールサーバへ接続する際にはアカウント情報以外の認証情報を必要とする”など、不正ログインを早急に検知できるような機能追加を検討することを推奨している。
2014年のウイルス・不正アクセス関連の相談件数は1万5598件だった。そのうち「ワンクリック請求」に関する相談が3301件、スマートフォンにおける「ワンクリック請求」に限ると790件の相談があり、前年比でほぼ倍増した。
相談のうち2013年に147件だった「インターネットバンキング」は158件、2013年に22件だった「ランサムウェア」は2014年は、35件が増加傾向にあり、これらに関する相談が今後も増加し続けることが懸念されるとした。
