情報処理推進機構(IPA: Information-technology Promotion Agency)が、年末年始の休暇を迎えるにあたって、情報セキュリティ対策を再度確認するよう呼びかけている。2021年12月16日に公開された「年末年始における情報セキュリティに関する注意喚起」では、長期休暇の時期には普段と違った状況になることでさまざまなセキュリティリスクが生じやすいとして、不測の事態に陥らないためのセキュリティ対策についてまとめている。加えて、ケーススタディとして、最近相談を受けた代表的な事例も紹介している。
長期休暇の時期は、企業ではシステム管理者が不在になることでウイルス感染や不正アクセスなどの被害が発生した場合に対応が遅れる傾向にある。また家庭では、帰省や旅行などで普段と違う状況になることから、SNSへの不用意な書き込みが原因で被害に遭う可能性も高まる。それとは逆に、最近は外出自粛の影響で自宅でパソコンなどを利用する時間が長くなっており、ウイルス感染やネット詐欺被害のリスクが高まることも考えられるという。
これに対してIPAでは、長期休暇にあたって実施するべきセキュリティ対策として次のガイドラインを公開している。
このガイドラインでは、組織のシステム管理者、組織の利用者、そして家庭の利用者のそれぞれを対象として、長期休暇前や休暇中、そして休暇明けに実施するべきセキュリティ対策がまとめられている。
システム管理者向けには、休暇前に緊急連絡体制の確認や使用しない機器の電源OFFなどを実施するよう呼びかけている。組織の利用者に向けては、機器やデータの持ち出しルールや、社内ネットワークへの機器接続ルールなどを確認し、遵守するよう求めている。家庭の利用者に向けては、SNSの利用にまつわるトラブルの予防や、フィッシング詐欺などへの警戒などを呼びかけている。
-
長期休暇における情報セキュリティ対策
さらに、世界各国で猛威を奮っているマルウェア「Emotet」にも警戒するように呼びかけている。Emotetはフィッシングメールなどを起点としてシステムに侵入し、ランサムウェアなどの他のマルウェアをダウンロードして損害を与えるタイプのマルウェアである。同じネットワークにある他のシステムに対しても自動で感染を拡げていくため、1台のPCが完成するだけで組織に対する甚大な被害な被害につながる危険性がある。
米国や欧米の当局によって一度は無効化されたと報じられたが、2021年11月頃から攻撃活動が再開し、12月現在も攻撃が継続している。最近の攻撃では、過去にやり取りされたメールの返信を偽装して、マルウェア配布の起点となるメールが送られてくる手法も使われており、知人からのメールに見えても落ち着いて本物のメールであるか確認する必要がある。
年末年始を安心して過ごすことができるよう、事前・事後に万全のセキュリティ対策を施すよう心掛けたい。
