年末年始特有の「管理の空白」を狙う脅威
毎年、年末年始はセキュリティ担当者やIT管理者が不在になりがちであり、攻撃者にとって「検知が遅れる」絶好の機会となります。2024年は特に、巧妙化したフィッシング詐欺と、休暇中の設定変更を悪用した攻撃に注意が必要です。単なる「パスワードの確認」といった抽象的な対策ではなく、実務として踏み込むべきポイントを解説します。
「休暇中」を逆手に取った承認フローの悪用
近年、経営層や管理職が休暇中であることを突き、偽のメールで緊急の送金指示やシステム設定の変更を迫る「ビジネスメール詐欺(BEC)」の手口が洗練されています。特に、「担当者が不在であること」を前提とした承認フローのバイパスが狙われます。
対策として、休暇期間中は「メール一本で承認が完結する」業務ルールを一時的に停止し、必ず電話や対面などの「別経路による本人確認」を必須とする運用を徹底してください。
VPN装置とリモートアクセスの「放置」リスク
多くの企業で依然として課題となっているのが、VPN機器の脆弱性管理です。年末年始にメンテナンスを先送りにした結果、既知の脆弱性を抱えたまま放置されるケースが散見されます。
特に注意すべきは、「検証環境」や「一時的に開けたポート」の閉め忘れです。休暇前にリモートアクセス環境の設定を見直し、不要なアクセス許可が残っていないか、あるいは多要素認証(MFA)が全ユーザーに対して強制されているかを、今一度確認してください。
生成AIを用いた「極めて自然な」標的型メール
2024年は生成AIの普及により、日本語の不自然さが解消された「極めて精巧な」フィッシングメールが増加しています。以前であれば「日本語が少し変だから」と見破れたものが、今では社内の人間関係や業務用語を網羅した文章で届きます。
従業員に対しては「怪しいメールには気をつける」という精神論ではなく、「メールのリンクや添付ファイルを開く前に、必ず社内ポータル等の信頼できる情報源からアクセスする」という、具体的な行動変容を促す通知を徹底してください。
インシデント発生時の「初動体制」の可視化
どれだけ対策を講じても、100%の防御は不可能です。重要なのは、万が一の事態が発生した際の「連絡網」です。
年末年始の緊急連絡先リストが、オフライン(紙や個人端末のメモ)でも参照できるようになっているかを確認してください。また、「誰が、どのシステムを、どのような権限で停止できるか」という権限委譲を、あらかじめ決めておくだけで、被害の拡大を最小限に食い止めることができます。
今年の年末年始は、単なる「休暇」ではなく「守りの空白期間」として捉え、実務レベルで防衛体制を再点検してください。皆さまが平穏な年末年始を過ごせるよう、今週中のリスク棚卸しを推奨します。
コメント