今年も残りあとわずかとなりました。
年末年始は、多くの企業でシステム管理者や担当者が不在となりやすく、サイバー犯罪グループにとって格好の攻撃タイミングとなる時期です。
特に今年は、暦の並びにより、例年よりも長期の休暇となる企業も多いと考えられますが、 休暇期間が長くなるほど、異常の検知や初動対応が遅れやすくなり、被害が拡大するリスクも高まります。
年末年始を前に、IPA(独立行政法人情報処理推進機構)から、長期休暇中の情報セキュリティ対策に関する注意喚起が発表されています。
本記事では、年末年始にサイバー攻撃のリスクが高まる背景と近年の攻撃手口を整理したうえで、 IPAの注意喚起をもとに、企業が押さえておくべきセキュリティ対策の要点を解説します。
※ 本記事は、追記・修正して2025年12月18日に再度公開しました。
年末年始にサイバー攻撃が増加する背景と手口
長期休暇による管理・監視体制の変化
年末年始の長期休暇の時期は、システム管理の部署や管理者自身も長期間不在となるため、いつもと違う体制になりがちです。サイバー攻撃の検知もしづらく、万が一の対応も関係者との連絡が想定通りに進まない可能性があり、対応が遅れがちになるため、被害がさらに甚大化しやすくなります。
なお、IPAでは長期休暇中だけでなく、休暇明けも注意が必要としています。
年末年始に多発するサイバー攻撃の手口
近年は、単一のマルウェア感染にとどまらず、複数の手口を組み合わせた「複合型攻撃」が増えています。例えば、フィッシングメールで認証情報を窃取した後、VPNやクラウド管理画面に不正ログインし、最終的にランサムウェア攻撃へと発展するケースです。
また、年末年始の休暇期間中は、設定不備や放置されたアカウントが狙われやすくなります。
利用されていないIDや権限が残ったままになっていると、攻撃者にとって侵入の足がかりとなりかねません。
さらに昨今は、AIを活用して作成された違和感の少ない日本語の詐欺メールも増えています。
文面だけで不審かどうかを判断しづらくなっている点にも注意が必要です。
年末年始にとるべきセキュリティ対策(IPA注意喚起の要点)
IPAは、「個人の利用者」「企業・組織の利用者」「企業・組織の管理者」それぞれに向けて、長期休暇における情報セキュリティ対策を整理しています。ここではその中から、企業・組織として特に押さえておくべきポイントを抜粋して紹介します。
出典:IPA「2025年度 年末年始における情報セキュリティに関する注意喚起」(2025年12月16日公開)
IPA「長期休暇における情報セキュリティ対策」(2025年4月21日公開)
企業・組織として実施すべきセキュリティ対策
管理者向けの対策・心構え
IPAは、年末年始の長期休暇期間は、・システム管理者が不在になりやすい
・通常とは異なる運用体制になる
・インシデント検知や初動対応が遅れやすい
という状況が重なることから、サイバー攻撃の被害が拡大しやすい時期であると注意喚起しています。
特に近年は、インターネットに接続された機器やネットワーク機器の脆弱性・設定不備を悪用した攻撃が増加しており、意図せず自社の機器が攻撃の踏み台(ORB:Operational Relay Box)として利用されてしまうリスクも指摘されています。
休暇前の確認
1.緊急連絡体制の確認連絡体制や電話番号の確認を改めてチェックしてください。
2.社内ネットワークへの機器接続ルールの確認と遵守
長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守してください。
3.使用しない機器の電源OFF
長期休暇中に使用しないサーバ等の機器は電源をOFFにしてください。
休暇前にあわせて確認しておきたいポイント
・VPNやクラウド管理画面のアクセス権限が適切か確認する
・使用されていないIDやアカウントが残っていないか確認し、不要なものは停止する
・多要素認証(MFA)が有効になっているか確認する
・EDRや監視ツールのアラート通知が、休暇中でも確認できる体制になっているか確認する
関連記事:多要素認証(MFA)とは?2FA・2ステップ認証との違いと導入の基本ガイド
休暇明けの対策
また、注意すべきなのは長期休暇中だけでなく、休暇明けです。IPAによると、長期休暇明けはメールが溜まりやすく、確認が雑になりがちなため、実在の企業や取引先を装ったメールや年賀メールや挨拶メールを装った不審なメッセージによる被害が増加する傾向があります。
特に、Emotet(エモテット)などのマルウェアは、見知った相手を装ったメールから感染が拡大するケースが多く、休暇明けの油断を狙った攻撃には十分な注意が必要です。
1.修正プログラムの適用
長期休暇中に更新されたOSや各種ソフトウェアの修正プログラムを確認し、適用してください。
2.定義ファイルの更新
メールの送受信やウェブサイトの閲覧等を行う前に、セキュリティソフトの定義ファイルを更新し最新の状態にしてください。
3.サーバ等における各種ログの確認
サーバ等の機器に対する不審なアクセスが発生していないか、各種ログを確認してください。
休暇明けに重点的に確認したいポイント
・認証ログや管理者操作ログに不審な記録がないか確認する
・短時間でログイン失敗が繰り返されていないか確認する
・深夜帯や海外IPアドレスからのアクセスが発生していないか確認する
利用者向け(一般社員)の対策・心構え
IPAでは、長期休暇明けに受信したメールについて、 「添付ファイルは開かない」「本文中のURLにはアクセスしない」 を原則とし、少しでも不審に感じた場合は、各組織のシステム管理者に報告することを推奨しています。休暇前の確認
1.機器やデータの持ち出しルールの確認と遵守2.使用しない機器の電源OFF
長期休暇中の対策
持ち出した機器やデータの厳重な管理自宅等に持ち出したパソコン等の機器やデータは、ウイルス感染や紛失、盗難等によって情報漏えい等の被害が発生しないよう、厳重に管理してください。
長期休暇明けの対策
1.修正プログラムの適用長期休暇中に更新されたOSや各種ソフトウェアの修正プログラムを確認し、適用してください。
2.定義ファイルの更新
メールの送受信やウェブサイトの閲覧等を行う前に、セキュリティソフトの定義ファイルを更新し最新の状態にしてください。
3.持ち出した機器等のウイルスチェック
長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等にウイルスが混入していないか、利用する前にセキュリティソフトでウイルススキャンを行ってください。
4.不審なメールに注意
長期休暇明けのメールチェックは、特に注意してください。
実在の企業などを騙った不審なメールに関する相談が多く寄せられています。
こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることで、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。
不審なメールを受信していた場合、「添付ファイルは開かず」、「本文中のURLにはアクセスせず」、各組織のシステム管理者に報告し、指示に従ってください。
近年は、メールだけでなく、TeamsやSlackなどのチャットツール経由で不審なリンクが送られてくるケースも確認されています。
業務連絡を装ったURLであっても、安易にクリックしないよう注意が必要です。
また、年明け直後は、請求書や契約更新、見積もり確認などを装った連絡が増える傾向があります。
年度切り替えのタイミングを狙った攻撃もあるため、内容に少しでも違和感がある場合は、すぐに社内の担当者へ相談してください。
📌 年明けの年賀メールに要注意!
取引先を装った年賀メッセージのメールに、ウイルスメールが混じっている可能性があります。
近年も流行を繰り返している悪質なマルウェア Emotet(エモテット) は、メールをきっかけに感染し、 端末を乗っ取り、連絡先や認証情報を窃取しながら、 不正メールを拡散する特徴があります。
※ 覚えておきたいポイント
- メールを開封するだけで感染するケースがある
- 端末内の認証情報や連絡先が窃取される
- 取引先・社内へ不正メールを自動送信し、被害が連鎖的に拡大しやすい
ウイルス対策ソフトでも検知しにくい亜種も増えているため、 社内や取引先の見知った相手からのメールであっても、 開封前に不審な点がないか確認するよう注意しましょう。
万が一、年末年始にサイバー事故が起きたら
年末年始の長期休暇中は、関係者が揃わず、社内での判断や対応が遅れやすいという特徴があります。「まず社内で対応すべきか」「外部へ連絡すべきか」と迷っている間に、被害が拡大してしまうケースも少なくありません。
この章では詳細な手順までは踏み込みませんが、初動で判断を誤らないための流れ(連絡・切り分け・封じ込め・証拠保全など)は、次の関連記事で整理しています。
関連記事(詳しい手順はこちら)
休暇中に備えておきたいのは、「誰が判断し、どこへ連絡し、どこまで止めるか」を事前に決めておくことです。
可能であれば、外部の専門家(インシデント対応支援、フォレンジック調査、広報対応など)へ相談できる窓口も、休暇前に確認しておくと安心です。
IT事業者の皆様へ
年末年始は、企業や利用者側の体制が手薄になりやすく、サイバー攻撃の影響が広がりやすい時期です。IPAが注意喚起している内容は、IT部門や情報システム担当者だけでなく、サービス提供事業者や外部ベンダーにとっても重要なポイントが多く含まれています。
自社だけでなく、貴社のクライアント企業やサービスの利用者様に対しても、年末年始に注意すべきポイントを事前に共有することで、事故の未然防止や初動対応の迅速化につながります。
本記事の内容を、注意喚起資料や社内外への案内文として活用いただければ幸いです。
まとめ
年末年始の長期休暇は、セキュリティ体制に隙が生じやすく、サイバー犯罪グループに狙われやすい時期です。IPAからは、
社内周知・ルールの徹底
ソフトウェア・定義ファイルの更新
緊急対応体制の確認
休暇明けのメールへの警戒
といった点について、改めて注意喚起が行われています。
ただし、どれだけ対策を講じても、サイバーリスクを完全にゼロにすることはできません。 万が一に備え、被害拡大を防ぐ手段の一つとしてサイバー保険を検討しておくことも重要です。
被害拡大の防止対策も併せて見直しを行ってみてください。
※ 今年の年末年始は、例年より休暇が長期化する傾向がある点にも注意が必要です。
休暇前のID・権限・通知体制の確認、休暇明けのメールやチャット経由の不審な連絡への注意、そして事故発生時に社内で抱え込まない判断が、被害拡大を防ぐポイントとなります。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
IPAではサイバー事故の被害に遭わないために、セキュリティ対策の実施を啓蒙しています。
詳しくは下記IPAからの注意喚起をご確認ください。
2025年度 年末年始における情報セキュリティに関する注意喚起
長期休暇における情報セキュリティ対策
