いよいよ年の瀬が迫り、年末年始の長期休暇を迎える方が多いと思います。長期休暇の時期は悪意のある者にとってはサイバー攻撃の格好のタイミングと言われています。

先日、世界中で広く使われているJavaベースロギングライブラリであるApache Log4jの深刻な脆弱性が報告されました。簡単な手法で攻撃を実行することが可能となるため世界中で影響が危惧されています。

ご対応は進められておりますでしょうか。ご多用の時期かと存じますが、システム担当の方は至急ご対応ください。

Apache Log4jの脆弱性に関する参考URL（随時更新）

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起（JPCERT/CC）

JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性（JVN）

Apache Log4j の脆弱性対策について(CVE-2021-44228)（IPA 情報処理推進機構）

休暇中は、持ち帰ったパソコンで業務メーラーを開き、添付ファイルを開いたらウイルスに感染してしまった、というようなことが発生しやすい状況です。

フィッシング詐欺の報告件数は増加傾向にありますし、「Emotet」（エモテット）と呼ばれるウイルスへの感染を狙う攻撃メールの攻撃活動再開、攻撃手口の変化も確認されており、注意が必要な状況が続いています。

参考：「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて（IPA 最終更新日：2021年12月9日）

IPAが長期休暇における情報セキュリティ対策について発信しています。組織の利用者向け、組織のシステム管理者向け、家庭の利用者向けにそれぞれ対策が掲載されていますが、ここでは、組織の利用者向けに紹介されている対策を引用、ご紹介いたします。是非ご一読の上、対策を実施してください。

長期休暇前の対策

機器やデータの持ち出しルールの確認と遵守

長期休暇期間中に、社外での対応が必要となるなど、パソコン等の機器やデータ等の情報を持ち出す場合は、持ち出しルールを事前に確認し遵守してください。

社内ネットワークへの機器接続ルールの確認と遵守

ウイルス感染したパソコンや外部媒体等を社内ネットワークに接続することで、ウイルスをネットワーク内に拡散してしまうおそれがあります。長期休暇中にメンテナンス作業などで社内ネットワークへ機器を接続する予定がある場合は、社内の機器接続ルールを事前に確認し遵守してください。

使用しない機器の電源OFF

長期休暇中に使用しない機器は電源をOFFにしてください。

長期休暇中の対策

持ち出し機器やデータの厳重な管理

自宅等に持ち出したパソコン等の機器やデータは、ウイルス感染や紛失、盗難等によって情報漏えい等の被害が発生しないよう、厳重に管理してください。

長期休暇明けの対策

修正プログラムの適用

長期休暇中にOSや各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、修正プログラムの適用については、システム管理者の指示に従ってください。

定義ファイルの更新

長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル（パターンファイル）が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態になっていることを確認してください。

持ち出し機器のウイルスチェック

長期休暇中に持ち出していたパソコンや、データを保存していたUSBメモリ等の外部記憶媒体にウイルスが混入していないか、組織内で利用する前にセキュリティソフトでウイルススキャンを行ってください。

不審なメールに注意

実在の企業などを騙った不審なメールに関する相談が多く寄せられています。こういったメールの添付ファイルを開いたり、本文中のURLにアクセスしたりすることで、ウイルスに感染したり、フィッシングサイトに誘導されたりしてしまう可能性があります。長期休暇明けはメールが多数溜まっていることが想定されますので、不審なメールの添付ファイルを開いたり、本文中のURLにアクセスしたりしないように注意してください。不審なメールを受信していた場合は、各組織のシステム管理者に報告し、指示に従ってください。

IPAのサイトでは、上記の組織のシステム管理者向けの対策の他に、組織のシステム管理者向け、家庭の利用者向けの対策も記載されています。よろしければご一読ください。