IPA 年末年始における情報セキュリティに関する注意喚起

IPAより以下の注意喚起がリリースされています。
ご一読をください。

多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後の業務継続に影響が及ぶ可能性があります。

このような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、それぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。

注釈:上記リンク先において、対象者毎に参照すべき範囲は以下のとおりです。

  1. 個人の利用者:個人向けの対策(3.)
  2. 企業や組織の利用者:個人及び企業・組織のシステム利用者向けの対策(2-2. / 3.)
  3. 企業や組織の管理者:個人、企業・組織のシステム利用者及び管理者向けの対策(2-1. / 2-2. / 3.)

【企業や組織の方々へ】

インターネットに接続された機器・装置類の脆弱性・設定不備等を悪用するネットワーク貫通型攻撃が相次いでいます。

IPAでは、ネットワーク貫通型攻撃や、それにより不正な通信の中継点とされてしまうOperational Relay Box(ORB)化に関する注意喚起を行っています。

攻撃を受けた場合、保有情報の漏えいや改ざん、ランサムウェアへの感染に加え、ORB化により、意図せずに他組織等への攻撃に加担することに繋がります。そうした事態を未然に防ぐためにも、システム構成やインターネット接点など構成把握、脆弱性対策、設定等の確認、日頃のログ監視といったサイバーセキュリティ対策に加え、BCP(事業継続計画)・BCM(事業継続マネジメント)を通じたサイバー以外も含めた危機管理体制が重要となります。

また、ネットワーク貫通型攻撃の標的となり得る機器・装置類を把握・管理するための指針として、2023年5月に経済産業省より「ASM(Attack Surface Management)導入ガイダンス」が公開されています。

以下のページも参考に、今一度、自組織のインターネットに接続された機器・装置類の確認を推奨します。

2024年末から2025年始には、国内企業等に対し、侵害されたIoT機器からなるIoTボットネット等を利用したとみられるDDoS攻撃が発生しました。

NISC(内閣サイバーセキュリティセンター現:国家サイバー統括室(NCO))が公表している以下の注意喚起も参照し、DDoS攻撃への対策もご検討ください。

自組織のIoT機器等を把握する際には、必要に応じてIPAが2016年に公表した以下の文書も参照し、SHODAN等のサービスの利用もご検討ください(記載されているサービスの仕様等が現状のものと異なる場合がありますのでご注意ください)。

以上のような攻撃のほか、不審メールやサポート詐欺等の被害も引き続き確認されています。

IPAの公表している以下の情報も参考に、この機会にご家族も含めて、攻撃の手口や対策について確認することを推奨します。

各企業・組織において不審なメールの受信や機器・装置類への不正なアクセスを含め、不自然な兆候を認知した場合には、下記のコンピュータウイルス・不正アクセスに関する届出や企業組織向けサイバーセキュリティ相談窓口宛てに情報提供いただき、「サイバー状況把握」への協力をお願いします。

認知した内容に応じて、ウイルス検知名、不審ファイル、不審メール、各種セキュリティ機器のログ等、攻撃やその兆候を把握するための情報の提供をお願いします(様式不問)。

お問い合わせ先

企業組織からのご相談

企業組織向けサイバーセキュリティ相談窓口

個人からのご相談

情報セキュリティ安心相談窓口

被害情報の届出先

コンピュータウイルス・不正アクセスに関する届出窓口

出典:2025年度 年末年始における情報セキュリティに関する注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構