年末年始のセキュリティ注意チェックリスト！ 油断せずに対策を【IPAが注意呼びかけ】

情報処理推進機構（IPA）は、年末年始の長期休暇に先立ち、情報セキュリティに関する注意を呼びかけた。

企業の管理者はOperational Relay Box（ORB）化を狙う攻撃にも注意

年末年始やゴールデンウィーク、夏休みなどの長期休暇期間には一般的に、セキュリティの危険度が高まるとされる。個人の場合、年末年始は自宅パソコンの使用率が高まるほか、ECなど外部サイトの利用、知人から久し振りのメッセージ到着など、ふだんと異なる状態になりがちだ。また企業・組織の場合でも、2024年末～2025年始に、“IoTボットネット”を利用したとみられるDDoS攻撃が国内で発生した。

年末年始においては、以下のような要因からサイバー攻撃が増加しやすいと考えられる。
 

・セキュリティが十分でない、自宅パソコンの利用時間が増える。
・セキュリティ被害やインシデントが発生しても、担当部門との連絡が付きにくく対処が遅れがちになる。
・買物の意欲が高まってECなどを利用したときに、詐欺サイトや偽サイトへの接触がありえる。
・年末年始のあいさつとして、普段やりとりのないアドレスからメールが届いてもそのまま開いてしまう。
・SNSへの投稿やスマホの利用時間が増え、不用意なトラブルが発生する。
・休暇期間を活かし短期アルバイトに応募する際、いわゆる「闇バイト」案件に遭遇する可能性がある。

こうした背景からIPAでは、利用者・管理者双方に向けて注意を呼びかけている。これらは大きくは、「ふだんから行っておくべきセキュリティ対策」、トラブル発生時の連絡方法を事前調整するといった「休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「休暇後の確認」に分かれる。以下、チェックリストを作成したので活用してほしい。

【ふだんから行っておくべき対策】
□ ウイルス対策ソフトを導入する。
□ OSやアプリケーションは、最新版を使用する。
□ ハードディスクやUSBメモリなど、使用メディアのウイルスチェックを定期的に行う。
□ 不審なメールやSNSの投稿には注意し、不用意にリンクをクリックしたり添付ファイルを開いたりしない。
□ Webや広告でセキュリティ警告が表示されても、すぐ反応せず偽物でないか確認する。
□ パソコンやスマホには、パスワード（画面ロック）を設定する。
□ 管理者向け：データ持ち出しが不用意に発生していないか確認する。
□ 管理者向け：重要データのバックアップを行う。

【休暇前の備え】
□ 緊急時の対応体制・連絡手順などを決めておく。
□ 機器やデータを持ち帰る場合は、管理部門にルールを確認する。
□ 管理者向け：不要なサービスや機器は停止しておく。

【休暇後の確認】
□ 休暇中に更新プログラムが公開されていたら、必要に応じて適用する。
□ 休暇中に持ち出していたデータを社内に戻す場合は、事前にウイルスチェックする。
□ 休暇中のメールが溜まっていても、読み飛ばさず、リンク先URLや添付ファイルに注意する。
□ 管理者向け：休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する。

また最近ではそのほかネットワーク貫通型攻撃やそれにより不正な通信の中継点とされてしまうOperational Relay Box（ORB）化も多く見られ、これに対しても特に注意するようIPAでは呼びかけている。