情報処理推進機構(IPA)セキュリティセンターは、ゴールデンウィークに向けたセキュリティ対策を呼び掛けた。2019年は「平成」から「令和」への改元に伴って例年より長期の10連休となることから、早めの取り組みが大切だとしている。
IPAでは、ゴールデンウィークや夏期、年末年始などの長期休暇のタイミングで、企業などのシステム管理者と一般ユーザーらを対象に、セキュリティ対策の取り組みを呼び掛ける。「管理者が長期間不在」「旅行に出かける」など日常とは異なる状況では、サイバー攻撃被害への対応が遅れたり、不用意なITの利用(例えば、SNSへの書き込みなど)から思わぬ被害が生じたりしやすい。
2019年は、5月1日の改元に便乗するサイバー攻撃の発生も懸念され、IPAでは「不審なファイルやURLには、より一層の注意が必要」と警鐘を鳴らしている。IPAがアドバイスするセキュリティ対策の主なポイントは以下の通り。
組織のシステム管理者向け
休暇前
- 不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順などが明確になっているか(連絡フローが現在の組織体制に沿っているか、各担当者の電話番号が変わっていないか、など)確認する
- 長期休暇中に使用しないサーバなどの機器は電源をオフにする
休暇後
- 長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があり、修正プログラムの有無を確認し、必要な修正プログラムを適用する
- 長期休暇中に電源がオフになっていたPCは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっているため、メールの送受信やウェブサイトの閲覧などを行う前に定義ファイルを更新し、最新の状態にする
- サーバなどの機器に対する不審なアクセスが発生していないか、各種ログを確認する。何らかの不審なログが記録されていた場合は、早急に詳細な調査などの対応を行う
組織の利用者向け
休暇前
- 長期休暇に社外での対応が必要となるなどPCなどの機器やデータなどの情報を持ち出す場合は持ち出しルールを事前に確認し、順守する
- ウイルス感染したPCや外部媒体などを社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまう恐れがある。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し、順守する
- 長期休暇中に使用しない機器は電源をオフにする
休暇中
- 自宅などに持ち出したPCなどの機器やデータは、ウイルス感染や紛失、盗難などによって情報漏えいなどの被害が発生しないよう厳重に管理する
休暇後
- 長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があり、修正プログラムの有無を確認し、システム管理者の指示に従って修正プログラム適用などの対応を行う
- 長期休暇中に電源がオフになっていたPCは、セキュリティソフトの定義ファイルが古い状態のままになっているため、メールの送受信やウェブサイトの閲覧などを行う前に定義ファイルを更新し、最新の状態にする
- 長期休暇中に持ち出していたPCやデータを保存していた外部記憶媒体にウイルスが感染していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行う
- 実在する企業などをかたった不審なメールの添付ファイルを開いたり、本文中のURLにアクセスしたりしないように注意する。不審なメールを受信していた場合は各組織のシステム管理者に報告し、指示に従う
家庭の利用者向け
休暇中
- SNSで旅行計画を書き込んだ場合、内容によっては長期休暇中に不在であることが知られてしまう可能性がある(不在が知られることで空き巣被害などに遭う恐れがある)。また、撮影した写真をSNSに投稿したことでトラブルに発展することもあるため、投稿内容や投稿範囲に注意する
- 第三者に見られたら困るプライベートな写真や動画を撮影させたり、そのデータを送ったりしてはいけない
- 偽のセキュリティ警告などによって、最終的に有償ソフトウェアの購入や有償サポート契約へ誘導される恐れがあり、事前に正規の警告画面を把握しておく。偽の警告画面が表示された場合は画面を閉じ、画面が消せない場合はブラウザの強制終了やPCの再起動する
- メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意する。PCがウイルスに感染した疑いがある場合はPCの初期化も検討する。フィッシングサイトで情報を入力してしまった場合は、パスワードの変更やカード会社への連絡など、情報の悪用を防ぐ対応をする
休暇後
- 長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があり、修正プログラムの有無を確認し、必要な修正プログラムを適用する
- 長期休暇中に電源がオフになっていたPCは、セキュリティソフトの定義ファイルが古い状態のままになっているため、メールの送受信やウェブサイトの閲覧などを行う前に定義ファイルを更新し、最新の状態にする