攻撃メールの実例を紹介 中堅・中小企業は効果的な対策を取れているのか:メールセキュリティの状況(2025年)/後編(1/2 ページ)
攻撃メールに対抗しようと企業はセキュリティソリューションを導入している。実際にはどの程度効果的なのだろうか。攻撃メールの文面と合わせて調査の結果を紹介する。
前編では、迷惑メール対策ソリューションを導入している割合が全体で約7割、マルウェア対策については大多数の9割が実施している現状に触れた。直近1年で運用ルールを強化したり、EDRを導入したりして「対策を強化した」という声も寄せられ、企側におけるセキュリティ対策も日々進化している様子だ。
後編となる本稿では、キーマンズネットが実施した「メールセキュリティに関するアンケート 2025年(実施期間:2025年4月25日〜5月16日、回答件数:251件)」を基に、企業を狙うメール攻撃の実態と実被害例、メールセキュリティ対策状況を紹介する。
攻撃を受けた企業の半数が「自社を狙ったか分からない」状況
はじめに、不特定多数を狙った攻撃ではなく情報資産を含む“自社”を狙ったメール攻撃を受けた経験があるかどうかを聞いた。
その結果「自社を狙った攻撃を受けたことはない」(45.8%)、「攻撃を受けたことはあるが、自社を狙ったかは分からない」(21.5%)、「自社を狙った攻撃を受けた」(9.2%)、「分からない」(23.5%)となった(図1)。
2024年4月に実施した前回調査との比較では「自社を狙った攻撃を受けた」が2.5ポイント増え、「自社を狙った攻撃を受けたことはない」が2.3ポイント増加した。その結果「攻撃を受けたことはあるが、自社を狙ったかは分からない」と「分からない」の合計が49.8%から45.0%に4.8ポイント減少した。
これは直近1年間で、わずかではあるものの攻撃を受けたかどうかすら分からないという高リスク状態を改善した企業が増えたことになるだろう。ただし従業員規模別では、101人〜5000人の企業帯と1万人以上の企業ではいまだに約半数が高リスク状態のままになっており、対応が急がれる。
次に実際にメール攻撃を受けた企業に攻撃を発見したタイミングを聞いたところ「マルウェアに感染した」(14.3%)や「システムが破壊された」(1.3%)を合わせ、15.6%が実被害に遭ってから気づいたと回答した(図2)。企業は再度、事前対策の重要性を認識する必要がありそうだ。
メールセキュリティ製品導入による対策、中小企業で大きな遅れ
それではこうしたメール攻撃に対し、何らかのメールセキュリティ製品を導入して対策をしている企業はどの程度なのだろうか。調査の結果「導入している」(55.4%)が過半数に達しており、特に従業員規模別で501〜1万人以上の企業では6〜7割が導入済みだった(図3)。ただし、500人以下の導入率が低く、特に101〜500人の企業では約3割と大きな開きが見られた。図2では全体の7割が「攻撃メールを受信した」(71.4%)時点で食い止められたと回答していたが、こちらも製品導入が規模の大きな企業が中心となっており、改めて中堅・中小企業におけるセキュリティ対策の遅れが目立つ結果になった。
なお、メールセキュリティ製品を利用しない企業にその理由を尋ねたところ、「導入や運用の予算が不足」(45.5%)や「対応できる人員の不足」(36.4%)、「導入すべきセキュリティ製品の優先順位が分からない」(36.4%)が上位に並び、中堅・中小企業の経営課題としてよく聞かれる予算や人材面での難しさが、セキュリティ対策にも影響していることが分かった(図4)。
システム停止にマルウェア感染……メール攻撃による実被害は年々増加
次にこれまでメール攻撃を受けたことのある企業に対して実際に発生した被害を聞いたところ「マルウェア感染」(15.6%)、「システムの停止」(11.7%)、「情報漏えい」(9.1%)という回答だった(図5)。
注意しなければならないのは「特に被害はない」(64.9%)は過半数であったものの、2023年4月の前々回調査では73.7%、2024年4月の前回調査では68.2%と実被害を経験した企業が年々増えていることだ。メールによる攻撃を事前に検知して食い止められないと、何らかの実被害を受ける可能性が高まってしまう。
他にも前回との比較では「マルウェア感染」が5.3ポイント増え、「システム停止」が6.1ポイント増加しており、いま一度対策の見直しをお勧めしたい。
Copyright © ITmedia, Inc. All Rights Reserved.