ニュース

政府機関と警察庁が年末年始のセキュリティに関する注意喚起、要点をポスター化

 経済産業省、総務省、警察庁、内閣サイバーセキュリティセンター(NISC)は12月20日、年末年始の長期休暇のサイバーセキュリティ対策に関する注意喚起を実施した。

 サイバー攻撃被害のリスクの高まりを踏まえ、8月には夏季の長期休暇における注意喚起を行ったが、その後もランサムウェアによるサイバー攻撃被害が続いていることや、11月よりマルウェア「Emotet」の活動再開と新たな手口を確認したことから、感染や被害の拡大が懸念される状況にあるとしている。また、9月には日本の政府機関や企業のウェブサイトなどを標的としたDDoSと見られる攻撃が行われるなど、「国家等が背景にあると考えられる攻撃者による暗号資産取引事業者等を狙ったサイバー攻撃や、一定の集団によるものとみられる学術関係者等を標的としたサイバー攻撃も明らかとなり、国民の誰もがサイバー攻撃の懸念に直面することとなっています」と、状況をまとめている。

 注意喚起の内容はテキストとして公開されたほか、ポスター風にまとめられた「長期休暇に向けて、セキュリティ対策は万全ですか?」というPDFファイルも公開。セキュリティ対策責任者・システム担当者向けの9項目と、情報システム利用職員(一般の職員・従業員)向けの3項目の内容が整理されている。

 注意喚起の概要は以下の通り。

セキュリティ対策責任者・システム担当者向け

休暇前

  • 長期休暇時間中の監視体制を確認する。また、インシデントの対処手順を確認し、連絡体制を更新する
  • 重要なデータや設定のバックアップ対策を実施し、バックアップデータはネットワークから切り離して変更不可とするなどの対策を検討する
  • アクセス制限の確認、多要素認証、不要なアカウントの削除など、アクセス制御に関する対策を行う
  • ソフトウェアの脆弱性対策として、セキュリティパッチの適用やバージョンアップなどを行う
  • 利用機器の対策として、ファームウェアを更新し、期間中に使用しない機器の電源を落とす

休暇後

  • 電源を落としていた機器の不正プログラム対策ソフトウェアの定義ファイルを確認し、最新版があれば更新する
  • ソフトウェアのセキュリティパッチの適用やバージョンアップなどを行う
  • 長期休暇中に持ち出しされていたPCなどが不正プログラムに感染していないか、不正プログラム対策ソフトウェアなどで確認する
  • サーバーなどのログを確認し、不審なアクセスがないか確認する

情報システム利用職員向け

休暇前

  • 機器やデータの持ち出しルールを確認し、適切な対応を徹底する
  • 期間中に使用しない機器の電源を落とす

休暇後

  • メールを通じた攻撃の対策を行う。具体的には次の3点。(1)メールを確認する前にPCの修正プログラムの適用や不正プログラム対策ソフトウェアの定義ファイルを更新する(2)不審な添付ファイルを開いたりリンク先にアクセスしたりしない(3)不審点があったらメールを開く前に電話など別の手段で確認する