【2023⇒2024】年末年始のセキュリティ対策 | 過去のインシデント事例も紹介

2023/12/19

サイバーセキュリティブログ記事一覧サイバーセキュリティニュースコラム

【2023⇒2024】年末年始のセキュリティ対策 | 過去のインシデント事例も紹介

2023年も残すところわずかとなりました。

年末年始は、システム管理者やセキュリティ担当者が休暇をとり、対応する人員が減少する時期です。限られたメンバーで維持管理や監視を行うため、何かあったときの対応も通常より遅れがちです。

よって、攻撃者にとって休暇シーズンは絶好の活動時期となっています。

2022年12月下旬から2023年上旬にかけても、国内でも複数のセキュリティ・インシデントが発生しています。

**2022年から2023年にかけての年末年始インシデント主要事例**
時期	種別	概要
2022年12月	不正アクセス（サプライチェーン攻撃）	IT企業のインターネット回線サービスに不正アクセス、顧客企業情報漏洩
2022年12月	アカウント乗っ取り	自治体Facebookアカウントが乗っ取られる
2022年12月	不正アクセス	テレビ通販大手のWebサイトに不正アクセス
2022年12月	ランサムウェア	宅食サービス大手にランサムウェア攻撃、顧客情報漏洩
2022年12月	不正アクセス（サプライチェーン被害）	エネルギー関連企業に不正アクセス、年始に委託会社から報告
2023年1月	アカウント乗っ取り	複合型施設のTwitterアカウントが乗っ取られる
2023年1月	DDoS攻撃	複数自治体に対しAnonymousがDDoS攻撃
2023年1月	不正アクセス	検定申込サイトにパスワードリスト攻撃、会員情報漏洩
2023年1月	不正アクセス	市立学校に不正アクセス、自治体45校のWebサイトがアクセス不能状態
2023年1月	不正アクセス	自治体関連団体のメールサーバに不正アクセス、大量のスパムメール送信

不正アクセスやランサムウェアの脅威を阻止するには、事前の準備が大切です。

この記事では、企業・組織のシステム・セキュリティ担当者が年末年始に備えて留意すべき対策を紹介します。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

連絡・対応
セキュリティ対策
セキュリティ・アウェアネス向上
最後に

サイバー事故などインシデントでお困りの方（24時間・365日対応）

情報漏洩・不審なメール・ウイルス感染など、今すぐご相談されたい方、インシデント対応の相談と初動のアドバイスを無料でサポート。ＳＯＭＰＯサイバーインシデントサポートデスクはこちら

連絡・対応

◆チームの連絡体制を整備する

組織のシステムやネットワークは、24時間365日体制で運用されていますが、サイバー攻撃者も休むことなく活動を続けています。
休暇期間中、人員の減った（あるいは無人になった）状態でセキュリティインシデントや不審な兆候を検知した場合でも、速やかに対応できる体制を作っておくことが必要です。
具体的には、期間ごと、日ごとの当番を決め、アラートや通報を受けた場合の第一対応者を明確に定めておき、チームや上級部署との連絡通報手段を事前に皆で共有しておくことをお勧めします。
また、MSPや保守会社の年末年始対応についても確認し、万が一のときの窓口を確保しておくことが有効です。

◆インシデント発生時の手順を準備しておく

ランサムウェアや不正アクセスなど、重大なインシデントが発生したときの手順を事前に作成しておくことが必要です。
休暇期間は、システム担当者、職員、保守会社などが最低人数で勤務するため、いつも以上に限られたメンバーで事態に対処することになります。
このような環境下では、すぐに参照できるような手順書、連絡先一覧といったドキュメントが頼りになります。

なお、インシデントレスポンスのためのプレイブック作成には、以下の記事・資料もぜひご活用ください。

セキュリティ対策

◆バックアップ

ランサムウェア攻撃や障害によるダウンなどを考慮し、バックアップが成功しているか確認します。可能であれば手順も含めてリストアのテストもお勧めします。
現在のランサムウェアはシャドウコピー等のバックアップや大手バックアップベンダーの機能等も攻撃するよう設計されています。真に守るべきデータはオフラインで保管することを推奨します。
（RAID構成の機器ではホットスペアを使いきっていないか等の確認もお勧めします）

◆不要なサービスやアカウントの停止

年末年始には利用しない不要なサービス（サーバー、インスタンス）は止めましょう。IaaSを利用している場合は利用費も抑えられますし、アタックサーフェスを減らすという意味でも有効です。オンプレミスの場合、年始の起動トラブルに備えて保守サービスの連絡先などもあわせて確認をお勧めします。
使用予定のない特権アカウントは、極力停止しておくことも有効です。
また、RDPなどリスクを伴うサービスの必要性を改めて点検し、適切なアクセス制限策を講じた上で、休暇期間中もモニターすることが重要です。

◆アップデート

OSやソフトウェアは可能な限りアップデートさせておきましょう。
また休暇中も、緊急的にリリースされているアップデートが無いか確認しましょう。わざわざ正月に出るようなアップデートは、それだけ重要・危険性が高いとも言えます。

サイバー攻撃の被害が報じられた場合、「ベンダーから注意喚起が出ているにもかかわらずアップデート・パッチ適用をしていなかった」等の経緯が公表されることもあり、企業のリスクマネジメントが問われる可能性があります。

◆多要素認証

休暇期間中のランサムウェア対策に関して発出した米CISAの注意喚起では、VPNやリモートアクセスサービス、特権アカウントに対して、可能な限り多要素認証を導入することを推奨しています。多要素認証は、サイバー攻撃者による不正アクセスのリスクを大幅に低減することができます。

多要素認証の導入が難しい場合は、複雑なパスワードを設定し、パスワード・マネージャで管理しましょう。
また、パスワードの使い回しはサイバー攻撃の標的となるため絶対にやめましょう。

パスワード漏洩とその対策｜Kryptos Logicによる漏洩検知と対応

◆メールサーバーにも注意

メールサーバーの乗っ取り、例えば不正中継や組織用メールアカウント乗っ取りは、大きな話題にはなりませんが年間を通じて発生しています。
ダークウェブやTelegramには、スパム業者向けの「脆弱なSMTPサーバー」販売マーケットが存在し、日本企業や日本の自治体に属するサーバーも現在進行形で売りに出されています。

企業や組織のドメインを利用した迷惑メール送信や不正中継が発生した場合、顧客や取引先からのレピュテーションを低下させることになります。また、悪用されたメールサーバーがブラックリストに登録された場合、メール送受等の通常業務にも影響します。

メールサーバーやファイアウォールの設定、アクセス制限、退職者アカウントの管理、アップデート等の運用を改めて見直すことを推奨します。

セキュリティ・アウェアネス向上

フィッシング攻撃や、ソーシャルエンジニアリングに対する注意喚起を行うことで、従業員の持つ情報やデータに起因するリスクを低減することが期待できます。
休暇の前後は非常に忙しくなり、メールのチェックなども駆け足になりがちです。フィッシングメールや悪性添付ファイルなどがシステム侵害の契機にならないよう、時機を逸さない呼びかけをお勧めします。
また、業務でインターネットを閲覧する上では、偽のWebサイト等へ誘導する攻撃法であるマルバタイジングの危険性にも言及しておく必要があります。

◆サポート詐欺が蔓延

従業員のセキュリティアウェアネスやITリテラシーにばらつきがある組織や公的機関では、単独でインターネットを利用していた従業員・職員が、Webブラウザに表示されたサポート詐欺にひっかかり、業務情報や個人情報を流出させる事案も散発しています。

特に、サポート詐欺はWebサイト上の広告を悪用し、画面表示や警告音で不安を煽り、ユーザー自らに電話をかけさせるよう誘導します。「ウイルスに感染しました」等の偽警告自体には、悪意あるプログラムやコードが含まれていないがほとんどです。よって、アンチウイルス等の製品を導入していても、ユーザーがインターネット閲覧時に遭遇することがあります。
「不審メールやマルウェアと同様、システム側で脅威をブロックできるので、一般従業員・職員にあえて教育・訓練を実施する必要はない」と考えている場合、こうした攻撃の被害を受ける可能性は増大します。

日本人ユーザーを狙ったサポート詐欺は組織化されており、Telegramにはサポート詐欺マニュアルやオンライン講座を販売するチャンネルも存在しています。

**2023年　サポート詐欺による組織の被害例**
年月	概要
2023年5月	東京都自治体にてサポート詐欺被害、個人情報流出の可能性
2023年7月	滋賀県自治体にてサポート詐欺被害、個人情報流出の可能性
2023年7月	鹿児島県内の学校にてサポート詐欺被害、マルウェア感染により校務に支障が発生
2023年8月	医療機関にてサポート詐欺被害、個人情報流出の可能性
2023年9月	福岡県の市営公園にてサポート詐欺被害、個人情報流出の可能性
2023年9月	県立高校にてサポート詐欺被害、個人情報流出の可能性
2023年9月	医療機関にてサポート詐欺被害
2023年9月	県営障害者支援センターにてサポート詐欺被害、個人情報流出の可能性
2023年12月	国立大付属中学校にてサポート詐欺被害
2023年12月	国立大付属幼稚園にてサポート詐欺被害、個人情報流出の可能性

◆漏れのないセキュリティ意識向上を

従業員には、経営層や上級管理者も含まれます。

2023年4月には、企業幹部の社用スマートフォンに届いた宅配なりすましSMSをきっかけに、アカウント不正アクセスが発生しています（スミッシング）。
組織・企業のあらゆる層に対して、このような攻撃に対する意識啓発・教育を行っていくことが大切です。

最後に

攻撃者は休暇期間中も休みなくターゲットを狙って活動しています。
サイバー衛生の向上など普段の積み重ねが必要なことは言うまでもなく、インシデント対処計画や明確な責任分担があるかないかで、インシデントが起きた時の初動・封じ込めの成果は大きく変わります。

それでは、健康に留意しつつ良いお年をお迎えください。

万が一、インシデントが発生してしまった場合は、ぜひSOMPO CYBER SECURITYインシデントサポートデスクまでご相談ください。
損保ジャパンのいずれかの保険契約がある事業者さまであれば、サイバー保険に加入しておらずともご利用いただけます（日本国内インシデントに限る）。

サイバー事故などインシデントでお困りの方（24時間・365日対応）

参考ソース

SOMPO CYBER SECURITY
プロダクト推進部　上級研究員

髙宮　真之介（たかみや　しんのすけ）CISSP, CEH

2010年に航空自衛隊に入隊後、サイバー・情報通信担当として無線・有線整備、作戦システム管理、SOC設立、米空軍サイバー部隊における交換将校・セキュリティ業務等に従事する。2020年から国内メーカーの脅威脆弱性管理／サイバー演習担当を経て、2022年にＳＯＭＰＯリスクマネジメント入社後、事業企画やコンテンツ拡充、脅威情報運用等に携わる。
・自衛官時代に言われた一言「レーダー整備にそんな筋肉はいらない」

監修：用語集一覧

講演：セミナー一覧

執筆：コラム一覧