情報処理推進機構が19日に発表した「2008年国内における情報セキュリティ事象被害状況調査」結果(有効回答数1907社、410自治体)によると、ウイルス遭遇・感染率は、2002年をピークに横ばい~減少を続けていたが、2008年のウイルス遭遇率は2007年の57.8%から60.4%に、感染率は同12.4%から15.8%へとやや上昇した。この原因は、USBメモリ経由で感染するW32/Autorunの影響が大きいとみられている。
これは、2008年に感染したウイルスでもっとも多かったのが「W32/Autorun」(39.8%)であること、また、感染経路の「外部媒体・持込みクライアント(パソコン)」が2007年の23.7%から40.9%へと急上昇していることから推測されている。これまで、インターネット経由のウイルス対策は進展しつつあったが、USBメモリ経由でのウイルス対策まで手が回らなない企業が多かったと見受けられる。
翌年のセキュリティ投資額の見込みを2007年調査と2008年調査で比較すると、「増額」が300人以上企業で35.5%から22.7%、300人未満企業で24.8%から16.6%に減少し、「減額」は300人以上企業で7.0%から14.9%、300人未満企業で7.2%から11.0%に上昇しており、大手企業を中心にセキュリティ投資を抑制する傾向が見受けられる。これは、2008年後半に世界を襲った経済不況が少なからず影響しているものと推測されている。
セキュリティパッチの適用は、外部公開ネットワークサーバに対して300人以上企業の14.3%、300人未満企業の15.5%が「ほとんど適用していない」との回答になっている。また、内部利用ローカルサーバに対しては、300人以上企業の24.3%、300人未満企業の20.3%が「ほとんど適用していない」と回答している。この状況は2007年調査結果とほぼ同程度の水準で推移している。
パッチを「ほとんど適用していない」理由は、「パッチの適用が悪影響を及ぼすリスクを避けるため」が7割近くに達し最多、また、25.1%は「パッチを適用しなくても問題ないと判断したため」と回答しており、パッチを適用しない場合の重大性を正しく認識していない層がいまだに4分の1も存在しているといえる。セキュリティパッチの計画的な適用については、その必要性を認識し、正しい知識を持つ必要があると指摘している。
同被害状況調査結果の概要は↓
http://www.ipa.go.jp/security/fy20/reports/isec-survey/documents/press.pdf